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hack-er (hak'dr) 

"Persona che si diverte ad esplorare i dettagli dei sistemi di programmazione 

e come espandere le loro capacità., a differenza di molti utenti, 

che preferiscono imparare solamente il minimo necessario." 




Anno nuovo vita nuov 



he. la bestia più reroce conosce un mtntt 
Ma io non ne conosco, perciò non sono una bestia." 

(William Shakespeare) 



It 2009 è finito, carico di polemiche che ci hanno visti 
suila bocca di tutti, i cattivi in prima linea, quelli da mettere 
alla gogna, la causa di tutti i mali e dei fatti di cronaca che 
hanno visto il Primo Ministro vittima di una mano mossa da 
siti Web carichi di odio. Ma non siamo noi. Non siamo quelli 
e non io sismo mai stati. La recrudescenza degli attacchi ai 



firJitiitiìifm»iii^Htm»tmjn^icmi^fH'iiL^M^imtHtfi 



fatta apposta per giustificare il decreto legge Maroni, che ha 
portato l'ennesimo giro di vite stringendo le maglie già strette 
della nostra libertà intellettuale di internauti liberi. 

Adesso basta, è venuto il momento di prendere le distanze. 
Hacker è filosofia di vita, Hacker è poesia e pensiero, hacker 
è curiosità, Hacker è consapevolezza, Hacker è rispetto. 

Strumentalizzarci, accostare la nostra filosofia a dei ragazzini 
che giocano sul Web spaccando tutto ciò che incontrano 
sulla propria strada, è quanto di più scontato e scorretto 
possa esserci. Non siamo noi. Non ci interessa la politica, 
non ci interessa attaccare, non ci interessa fa violenza, non 
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perchè se possono andar meglio è giusto che ci vadano. 

La strada è lunga, ma abbiamo a disposizione un anno 
nuovo per farne un altro pezzetto. Il nostro nome non ne uscirà 
riabilitato, ma noi sappiamo... che non siamo noi quelli cattivi! 
Buon Anno Hacker!!! 



The Guiity 



HACKER JOURNAL: INTASATE LE NOSTRE CASELLE 



Diteci cosa ne pensate di HJ: mandateci una mail! 

Vogliamo sapere se siete contenti, critici, incazzati o qualunque altra cosa. 

Appena possiamo rispondiamo a tutti, scrivete! 

redazione@hackerjournal.it 
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|on stiamo parlando del- 
\ Ila trasmissione televisi- 
i Iva: quella, purtroppo, con- 
^^Jtinua a occupare spazi che 
potrebbero benissimo essere dedi- 
cati a qualcosa di più intelligente. 
Parliamo invece delle nuove norme che 
vanno ad adeguare il regolamento in 
fatto di videosorveglianza, in particolar 
modo per quanto riguarda i dispositivi 
di sicurezza messi in atto da molti co- 
muni italiani. Si fa presto, infatti, a dire 
"piazzo una telecamera qui e una lag- 



giù": chi avrà accesso poi alle immagini 
registrate da queste telecamere? 
Finora, le norme esistenti si basava- 
no sulle tecnologie e sulle loro possibi- 
lità disponibili all'atto della stesura del 
regolamento precedente. Ma siamo in 
un ambito in cui lo sviluppo tecnologi- 
co è stato rapidissimo, è naturale quin- 
di che al giorno d'oggi qualcosa debba 
essere ritoccato. La cosa consolante è, 
per quanto riguarda noi comuni cittadi- 
ni, che le nuove regole vanno a toccare 
solamente i comuni e 







gli organi di sicurezza: non più quindi 
spionaggio indiscriminato della vita co- 
munitaria del nostro paese, ma palet- 
ti ben piazzati per fare in modo che le 
nostre vite appartengano solo a noi e a 
nessun altro. Limitato quindi il tempo di 
conservazione delle immagini registra- 
te, limitato l'accesso alle stesse sola- 
mente a quei membri delle forze dell'or- 
dine che devono usarle solo con fina- 
lità di indagine per la verifica di poten- 
ziali reati, accessibilità della documen- 
tazione multimediale per tutti i cittadini 
che si vedono recapitare una contrav- 
venzione per una violazione del codice 
stradale e il divieto di riprendere le no- 
stre targhe automobilistiche se non in 
caso di accertata violazione del codi- 
ce da parte nostra. In più, i comuni che 
fanno uso di sistemi di videosorveglian- 
za dovranno segnalarlo attraverso indi- 
cazioni luminose a tutti i cittadini. Sala- 
tissime le multe per i comuni che non 
si adeguano: fino a 120.000 euro 
per chi non sottopone le ne- 
cessarie richieste al Ga- 
rante della Privacy, fino 
a 180.000 euro per chi 
invece non modifica i 
propri comportamenti 
in violazione delle nuo- 
ve norme, che possono 
anche essere quadruplica- 
ti. Tutto bene, o quasi: ci chie- 
diamo come faranno i co- 
muni eventualmente mul- 
tati per una violazione 
a recuperare i soldi ne- 
cessari per pagare. Non 
stupiamoci se, di punto in 
bianco, ci vedremo recapitare un bol- 
lettino per una nuova tassa comunale 
sul possesso di scarpe da tennis: pro- 
babilmente il comune ha curiosato 
troppo nelle nostre vite... 
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Il nuovo sito del capitano 
della Roma è stato 

oggetto eli un attacco 
Hacker, almeno così 
afferma il Francesco 
nazionale proprio 

dalle pagine di www. 

francescotot1i.com. 

La nuova veste grafica 

ìa attirato migliaia di 
visitatori, poco più di 73 
mila in una sola giornata, ma subito 
dopo è stato oggetto di un tentativo di 
brute force. Fortunatamente, sempre 
secondo quanto afferma il capitano, 
i sistemi di difesa da questo tipo di 
attacchi hanno funzionato e il sito astato 
immediatamente messo off-line per 
preservare l'integrtità dei dati. Niente 
danni quindi, nulla è stato perso e tra 
qualche giorno il capitano giallorosso 
.tornerà a far bella mostra di sé anche 
sul Web. Sarà effettivamente così? 
Qualche dubbio naturalmente ci sorge, 
basti il fatto che dopo tre giorni dal pre- 
sunto tentativo di attacco il sito risulta 
più morto che mai: d'altra parte Tetti 
in difesa non è mai stato un mostro! 
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o sui cambiamenti climatici ( 
gatte da pelare in occasione del recente vertice sul clima di 
Copenagen che vedeva i grandi della terra seduti al tavolo per 
cercare contromisure al riscaldamento globale causato dall'uomo. 

Quache settimana fa infatti, alcune email di climatologi e fisici dell'Uni- 
versità di East Anglia sono state rubate e diffuse, il contenuto della cor- 
rispondenza hackeraia è imbarazzante: il ciimatoiogi avrebbero voluta- 
mente ingigantito i dati sull'inquinamento per rendere più credibili Ja tesi dei 
danni dovuti all'effetto serra. Una magra figura insomma, resa possibile dal 
lavoro certosino di alcuni hacker gen- 
tiluomini che hanno reso pubbliche le 
email dello scandalo e si sono dile- 
guati senza troppo rumore. O quasi: 
secondo il Mail on Sunday, infatti, 
avrebbero lasciato tracce inequivo- 
cabili che indicherebbero gli autori 
come i "famosi" hacker di Tomsk, gli 
stessi che nel 2002 hanno oscurato, 
su mandato dei servizi segreti russi, il 
portale di informazioni che diffondeva 
notizie scoomode su ciò che stava 
accadendo in Cecenìa. C'è dietro 
la solita manovra politica dell'inos- 
sidabile nuovo KGB? 
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CHINA MOST WANTED 

La Cina continua imperterrita la 
sua campagna contro fa volgarità 
diffusa a mezzo lntern$t e cori 
dispositivi mobili, arrivando a pro- 
muovere e remunerare là delazione. 
Come nei migliore" -rie* film western, 
l'agenzia di contrailo dei contenuti dei 
siti Internet cinese ha messo una taglia 
su tutti quei siti che pubblicizzano 
materiale osceno, fossero anche foto 
dì ragazze vestite in pose ammiccanti. 




; La taglia oscillatra i 1000 e i 10.000 
l yuan (1 00 e 1.000 euro) a seconda dei 
: contenuti censurabili e viene pagata 
.' solo a sito bloccato e respon- 



sabfli àertiinciati. Ma la manovra non 
finisce qui; già oscurati o censurarli 
più importanti tracker Torrent come 
B-TCtiina, ì maggiori motori di ricerea 
liberamente^- quasi) operanti adot- 
teranno una serie di filtri per accon- 
discendere alfa volontà dei governo 
e bloccare la diffusione di materiale 
osceno. Tra questi Yahoo! China, 
Sohu e Sina, che per paura di san- 
zioni (0 peggio^ vogliono mettersi 
in regola entro il marzo 2010. Ció- 
nonostanìe i bilanci delle società 
legate ad Internet lievitano. 
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WEB TAH: 




Siamo alla frutta: come se non pagassimo 
già abbastanza per il poco che abbiamo e il 
molto che non abbiamo, dalla rigidissima Ger- 
mania arriva una nuova gabella: la Web Tax. 

Al momento è solo una proposta, che però non 
ha motivi per essere bocciata. In sostanza presto 
i cittadini teutonici dovranno pagare 17,98 euro 
al mese {tanto quanto il canone TV) per utilizzare 
Internet su computer e Smartphone. La legge prevede 
due proposte di pagamento: nella prima pagherebbe 
solo chi effettivamente usa il Web, la seconda invece propone che ogni cittadino 
paghi il dazio, sia che possegga una radio sia che abbia trenta PC connessi ad 
Internet. La SIAE ha subito raccolto l'idea lanciando una proposta analoga ora al 
vaglio del Ministero dei Beni Culturali: un pagamento di 2,5 euro per ogni appa- 
recchio atto a duplicare contenuti multimediali, dal telefonino alla chiavetta USB. 






PROCESSORE INTEL 



DA 48 CORE 
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)rima o poi ci si doveva arrivare, a Intel va il premio 
velocità 2010: il processore 48 core è già una realtà. 
Il primo prototipo è stato messo a punto e dopo mesi di 
lavoro certosino i tecnici della casa di Santa Clara annun- 
ciano l'imminente messa in produzione di quello che 
sarà il più potente processore singolo mai prodotto finora 
La data ufficiale in cui sarà in vendita non è stata ancora resa 
nota, ma il superprocessore in oggetto è già in funzione e pare anche che funzioni molto 
bene: è costruito in tecnologia a 45 nanometri, supporta fino a 64 GB di memoria RAM 
ed è costituito da singoli core non più potenti di un normale Atom, che però congiun- 
tamente fanno impallidire qualunque altro processore attualmente in commercio. Il 
consumo previsto va dai 25 ai 125 Watt, in quanto i singoli core possono essere spenti 
secondo le necessità per risparmiare energia. Per curiosità, questo processore ha fatto 
girare senza problemi sia Windows sia Linux: da leccarsi i baffi! 



ioie e dolori per Apple: i 
nuovi i IVI a e da 27 pollici 
hanno fatto fare una magra 
figura a Steve Jobs & Company. 

Monitor scheggiati agli angoli e 
schede grafiche ATI col mal di pancia 
stanno facendo ritardare in tutto il 
mondo la consegna del prodotto. Un 
duro colpo per la Mela, proprio sotto 
Natale: tutte le consegne sono state 
slittate di due settimane per ovviare al 
problema, Sul fronte mobile, invece, 
i dolori saranno per i clienti indisci- 
plinati. Apple infatti ha depositato un 
brevetto che riguarda un dispositivo 
anti effrazione che, installato in iPod 
e iPhone, permette ai tecnici di sco- 
prire se l'apparecchio è stato mano- 
messo. Di cosa si tratta? Un banale 
adesivo interno che si rompe in caso 
di apertura. Ma quante ne sanno? 
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Ci risiamo, periodicamente la notizia 
ormai riscaldata più e più volte come il 
peggiore dei minestroni torna a tenere 
banco: Telecom investirà tre milioni di 
euro per lo sviluppo della banda larga. 
Ad annunciarlo è l'amministratore delegato 
Franco Bernabè intervistato da Lucia Annun- 
ziata, che difende il suo operato alla guida del 
colosso delle telecomunicazioni tentando di 
evitare lo scorporo delle rete di Telecom Italia 
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niliardi che però, ad oggi, non ci sono: gli 
zionisti dovrebbero rinunciare a parte dei 
ividendi per poter recuperare questi fondi 
finanziare lo sviluppo del progetto. In 
gni caso, considerato lo stato delle infra- 
strutture di rete che abbiamo, tre milioni di 
ìuro (peraltro stanziati in tre anni) potenzie- 
rebbero poco o nulla. Staremo a vedere. 
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DI 27, 28 e 29 novembre a 
Milano presso il CS Cantiere 
si è svolta AHAcktitude 09, il 
2° raduno organizzato dagli 
iscritti di AHA, la lista italiana che 
dal 2002 mantiene vivo il dibattito 
su activism, hacking e artivism. 
Come sempre HJ c'era ed eccoci qua 
con una retrospettiva su un evento che 
merita la nostra attenzione. 

-.-. About 

AHAcktitude si ispira al modello 
MackMeeting. Il primo incontro 
embrionale è avvenuto nel novembre 
2008 presso il SALE di Venezia. 

Ma quest'anno sono molte le novità a 
partire dal nome. In un fresco gioco di 
parole, AHAcktitude unisce la sigla della 
lista al concetto di attitudine: una scelta 
efficace per un evento che intende collo- 
carsi in quella zona dove l'arte si incontra 
con l'attivismo sociale e tecnologico nel 
tentativo di aprire un dialogo e condividere 
pratiche, concetti, azioni con r movimenti 
di base. Fra seminari, workshop, presenta- 
zioni e performance, una densa tre giorni 
di attività declinata all'insegna dell'open- 
source, indagando le problematiche legate 
ai social network, il cyberpunk, il fake e i 
nomi collettivi, fino alla realtà aumentata. 
Mossi da un assunto di base forte e con- 
divisibile: "occorre costruire esperienze, 
perché la comunicazione senza i corpi 
comunica solo i messaggi precon- 
fezionati, e il corpo senza intelligenza 
produce solo manipolazione". 



.-: Corpi e risorse 

AHAcktitude è un evento "emer- 
gente". Non si basa su dina- 
miche economiche, com- 
merciali e nemmeno "cura- 
toriali" in senso stretto, 
ma è il frutto di una dinamica 
e di rapporti sociali di reci- 
procità e scambio e della 
volontà lìbera di individui 
che hanno in comune 
risorse (intellettuali e mate- 
riali: si pensi al tempo, ad 
esempio) e competenze. 
Senza questi legami e senza 
la volontà di questi individu 
l'evento semplicemente non 
avrebbe luogo, svuotato non solo 
di senso ma anche delle forze che lo 
animano. Quei corpi che discutono, 
pensano, agiscono fuori, dentro e in 
prossimità della lista. Nel panorama 
italiano, questi corpi coincidono con 
artisti che amano manipolare 
il codice (del software e della 
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O Materiale grafico per spi flette da auto- 
produrre con i loghi dell'evento. 

comunicazione), studenti dell'acca- 
demia (e non solo), docenti univer- 
sitari, hackers, curatori, persone che 
simpatizzano, appoggiano o pro- 
muovono dall'interno le esperienze 
e i movimenti sociali di base (senza 
la pretesa né di rappresentarli né di 
esaurirne il numero): in due parole 
il popolo degli artivisti. Sono le loro 
ricerche, le loro opere, le loro azioni 
e performance che hanno dato forma 
e sostanza al programma attraverso 
una modalità emergente basata sul 
confronto diretto. Dallo steam punk 
all'uso dei nomi collettivi come San 
Precario, Anna Adamolo o Serpica 
Naro;, dall'analisi critica della realtà 
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aumentata al laboratorio nomade di 
phisical computing detl'Accademia 
di Carrara; dal subvertising al 
green washing; dalle estetiche 
mobili realizzate con video 
cellulari alla bluetooth war 
per invadere i flussi comu- 
nicativi della metropoli fino 
all'analisi della Google- 
crazia, un susseguirsi 
di seminari, workshop e 
presentazioni che hanno 
saputo unire alla rifles- 
sione teorica l'attenzione 
alle pratiche e il desiderio di 
comprendere e trasformare 
attivamente la realtà. Deco- 
struendo le visioni propagandi- 
stiche e precostituite della realtà 
e verità oggettive di ogni 
genere. Per farsi un'idea O All'indirizzo www.cantiere.org troviamo riprese video e 
precisa del programma fotogallery di tutti gli interventi dell'evento. 
consigliamo inoltre di 




curiosare sul sito del Cantiere che 
raccoglie un'ottima selezione di video 
ripresi e montati durante l'evento. 

:: Alchimie generazionali 

Concludiamo questa retrospettiva 
con una riflessione sui corpi e sull'ar- 
tivismo. Si è realizzata una particolare 
alchimia in questo AHAcktitude, 

anche grazie al lavoro di connes- 
sione e di presenza con il Cantiere 
e con il collettivo Aut Art nato nelle 
aule occupate dell'Accademia di 
Brera, che ha permesso di aprire un 
interessante link "generazionale" fra 
realtà artistiche-attiviste focalizzate 
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lecture: teoria e pratica dello streaming 

Durante questo seminario verrà analizzata la tecnica 
dello streaming tenendo preseme le orìgini dì tale svilup- 
po e gli strumenti tecnici necessari, mentre una hrene 
panoramica della storia della trasmissione del segnate 
audio e video [radio, televisone, internet] e dei supporti 
[video cassette a nastro, deschi, ed, dvd, hard disks] verrà 
delineata sullo sfondo. Particolare attenzione verrà data 
atenuove posshfficte fopenpuMshing, ovvero lapossh 
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sull'uso, comprensione e decostru- 
zione di tecnologie e media digitali e 
quei giovanissimi che dalle università 
hanno sollevato l'Onda Anomala in 
Italia l'anno scorso: diverse coinci- 
denze hanno inoltre cospirato affinché 
proprio da AHAcktitude venerdì 28 ci 
fosse un collegamento in diretta con 
gli studenti che in questo momento 
stanno occupando oltre 30 atenei in 
tutta la Germania, passando per l'Au- 
stria e la Svizzera. \\ tutto via Skype 
da un aula magna di Monaco e nel 
più semplice dei modi (una webcam 
e una connessione Internet), ma con 
un effetto potentissimo per i presenti 
a dimostrare un assunto di base: l'in- 
novazione è sociale e culturale prima 
ancoraché tecnologica, e trova il suo 
senso se incorporata, appropriata e 
agita all'interno di tali processi. A 
modo loro questi "nuovi" (più meno 
giovani) hanno molto da comunicare 
e comunicarsi. Proprio a partire dai 
linguaggi, dal bisogno/diffusione di 
pratiche, dal raccontarsi storie proba- 
bilmente vicine e affini. Speriamo che 
lo facciano e che eventi come AHAc- 
ktitude possano farsene tramite. 



O Warm up organizzato all'Accademia di Brera nel programma di autoformazione studentesca. 
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a fine dell'anno porta con 
sé numerosi avvenimenti; 
il Natale, il capodanno e... il 
pagamento del canone RAI. 

Quest'ultimo, la cui ricorrenza non è 
forse la più apprezzata fra le varie del 
mese di Dicembre, sembra per molti 
essere una sorta di male necessario, per 
altri un furto legalizzato, per altri ancora 
un pizzo che dev'essere evitato in qual- 
siasi modo. A prescindere dalla Qualità 
dei programmi trasmessi in TV e dall'op- 
portunità o meno di pagare per vederli, il 
problema principale è la poca chiarezza 
della normativa, insieme a una serie di 
pratiche non propriamente cristalline degli 
incaricati RAI, che spesso portano a far 
pagare questa imposta anche persone 
che di diritto potrebbero evitarlo. 



:: Cos'è il canone RAI 

Il canone RAI è un'imposta sul 
possesso di apparecchi rice- 
venti trasmissioni radiotelevisive. 
Innanzitutto, in quanto imposta, 
esso si distingue dalla tassa 
perché il suo pagamento non è collegato 
a una specifica prestazione da parte 
dello Stato. Detto in soldoni: non importa 
quanto ci faccia schifo Domenica In, noi 
dobbiamo pagare per il solo fatto di pos- 
sedere un televisore. Anzi, la situazione 
è molto peggiore: è necessario pagare 
anche se il televisore è configurato per 
non ricevere la RAI, anche se il segnale 
RAI non arriva al nostro edificio e anche 
se il televisore non è collegato a un'an- 
tenna o a una presa di corrente! Il canone 



è, in un certo senso, ereditario, nel senso 
che come passa di mano una TV così 
deve fare ii relativo abbonamento; addi- 
rittura, in caso di decesso di un abbonato 
RAI l'erede deve richiedere I intestazione 
dell'abbonamento a proprio nome. 

:: Chi dove pagareP 

Il soggetto tenuto a pagare ii 
canone RAI è il detentore dell'ap- 
parecchio radiotelevisivo, quindi 
non importa se la TV è di pro- 
prietà, in prestito o in affitto. 
L'abbonamento copre tutti gli apparecchi 
detenuti presso fa propria residenza o 
presso la propria dimora abituale e secon- 
daria, quindi non è necessario pagare 
un canone per ogni abitazione si abbia 



: p 8 1 j www.hackerjournai.it i 



a disposizione. Dal 1997 non è più obbli- 
gatorio pagare per il possesso di un'au- 
toradio, e dal 2008 sono esenti i sog- 
getti di età pari o superiore ai 75 anni, 
con un reddito complessivo (proprio e 
del coniuge) non superiore a 516,46 euro 
ai mese. Ma attenzione, in questo caso 
specifico ('esenzione vale solo per l'ap- 
parecchio che si trova nel luogo di resi- 
denza. Il vero problema, tuttavia, è la defi- 
nizione di "apparecchio radiotelevisivo": 
rifacendosi a un regio decreto risalente 
al 1938 (tempo in cui i lungimiranti legi- 
slatori avevano sicuramente previsto la 
comparsa di PC in ogni casa, Internet e 
videofonini), viene definito come tale ogni 
apparecchio atto o adattabile alla rice- 
zione delle trasmissioni radiotelevisive. 
All'indirizzo http://bit.ly/8whl4c è descritta 
un'indagine dell'ADUC (Associazione per 
i Diritti degli Utenti e Consumatori) fatta 
interpellando gli operatori del cali center 
RAI, da cui sono emerse definizioni varie 
e contraddittorie che comprendevano, 
fra gli apparecchi radiotelevisivi, video- 
citofoni, modem e fotocamere digitali. 
All'atto pratico, se abbiamo un classico 
televisore c'è poco da fare: siamo tenuti 
per legge a pagare il canone. Se, invece, 
disponiamo di altri tipi di apparecchi 
che non sappiamo se classificare come 
radiotelevisivi, possiamo inviare un inter- 
pello all'Agenzìa delle Entrate (inviando 
a mezzo raccomandata il modulo all'in- 
di rizzo http://bit.ly/6LnDJV). In caso di 
mancata risposta, o qualora gli apparecchi 
non siano da considerare come televisori, 
saremo legittimati a non pagare if canone 
fino a che non ci verrà comunicato diver- 
samente dall'Agenzia stessa. Infine, se 
siamo abbonati RAI possiamo effet- 
tuare una disdetta: è sufficiente mandare 
una raccomandata indicando ti numero 
di abbonamento e specificando a chi si 
desidera cedere l'apparecchio, oppure 
richiedendo di suggellare il televisore. 
In questo caso l'utente si impegna for- 




© Non importa se la vostra TV è vecchia, brutta o addirittura non funziona: il sola fatto di 
osare tenerla in casa vi rende passibili di imposta RAI! 



malmente a non utilizzare più la propria 
TV (un tempo "suggellata" all'interno di 
un sacco di juta, operazione che ora 
avviene solamente di rado): una descri- 
zione dettagliata della procedura è pre- 
sente all'indirizzo http://www.beppegrillo. 
it/iniziative/cancelliamoilcanone/. 

:: Come non pagare 

Anche quando siamo dalla parte 
della ragione risulta comunque 
molto difficile non pagare il canone; 
è sufficiente cambiare residenza, 
infatti, per cominciare a ricevere al 
nuovo indirizzo una serie di missive, 
sempre più minacciose, che richiedono 
l'attivazione immediata di un abbo- 
namento, al punto da richiedere una 
comunicazione ad hoc del Garante della 
Privacy. Le associazioni per la tutela dei 
consumatori ricevono migliaia di segna- 
lazioni in cui vengono descritti i metodi 




© Stando a quanto ci dice Google insìghts, chi l'avrebbe mai detto, l'interesse verso il canone 
RAI ha dei pìcchi annuali vie ini affa scadenza del pagamento. 



intimidatori (e non sempre legittimi) che 
la RAI usa per far pagare il canone pra- 
ticamente a chiunque: all'indirizzo http:// 
www.damiduck.it/rai.htm, ad esempio, 
.è possibile leggere il resoconto di un 
tentativo di suggellamelo durato addi- 
rittura diversi anni. Per difenderci da 
queste vere e proprie aggressioni pos- 
siamo consultare il vademecum pub- 
blicato su http://bit.ly/7hqWAY, che con- 
siglia il comportamento da tenere in 
diverse occasioni, dalla visita a domicilio 
di un funzionario RAI (che, per inciso, 
non ha alcun diritto di entrare in casa di un 
privato cittadino) alla richiesta di dichiara- 
zione sostitutiva dell'atto di notorietà. 

:: Conclusioni 

I programmi di qualità presenti alla 
TV si contano sulle punte delle 
dita; tuttavia, a meno che non deci- 
diamo di rinunciare completa- 
mente al possesso di un televisore, 
è bene ricordare che siamo ugual- 
mente tenuti per legge a pagare il 
canone RAI. Se invece scegliamo di 
vivere senza TV, oppure se dispo- 
niamo di apparecchi che non sappiamo 
se classificare come radiotelevisivi, è 
utile sapere che, nonostante le pre- 
potenti richieste della RAI, non siamo 
tenuti a pagare il canone e che ci sono 
informazioni e strumenti a disposizione 
per far valere i nostri diritti. 
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juando scriviamo e compilia- 
jmo un programma le cose non 
Isono semplici come sembra. 
JGcc (il nostro fido compilatore 
delia gnu) fa sembrare le cose facili: 
scriviamo sulla riga di comando "gcc -o 
nome nomesource.c" premiamo invio e il 
nostro programma è pronto per ¥ uso. Ma 
come è costruita all' interno la nostra ap- 
plicazione? com'è suddivisa? Al proprio in- 
'terno il nostro file viene diviso in conteni- 
tori, ognuno dei quali con un proprio com- 
pito, che darà la possibilità di organizza- 
re tutte le variabili nella memoria. Nel ca- 
so dei file elf (executable and linkable for- 
mat), gli eseguibili in sistemi unìx-like, una 
delle parti più importanti è il "Program He- 
ader", un contenitore che descrive e defi- 



nisce le informazioni essenziali 
del programma, come l' architet- 
tura della macchina su cui può es- 
sere eseguito, ? indirizzo di memoria 
della prima istruzione ("Entry Point" ) e gli 
indirizzi per accedere agli altri contenitori 
(o sezioni). Il compito invece di analizzare 
ogni sezione viene assegnato al "Section 
Header", una struttura (presente nell' he- 
ader/usr/ìnclude/elf.h insieme al "Program 
Header") che definisce un' unica tipologia 
di informazioni, come codice sorgente, va- 
riabili o simboli. Ad ogni sezione può esse- 
re riferito uno o più segmenti che a diffe- 
renza delle ultime, descrìvono in che mo- 
do il contenuto delle sezioni deve essere 
caricato in memoria e quali caratteristiche 
deve avere. I segmenti più importanti so- 
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no quelli che andremo a trattare in que- 
sto articolo e sono i segmenti testo, da- 
ti e bss, a cui si aggiungono lo heap e lo 
stack, importantissimi per I' organizza- 
zione di variabili dinamiche e locali. 

:: Il Segmento testo 

Il segmento di testo (o codice) è pro- 
prio quella parte che contiene il codice 
del nostro programma, (certamente una 
volta compilato, quindi in assembly). 

La sua memoria è fissa, non cambia, per- 
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- O Codice sorgente del nostfO esempio. 

che non deve contenere variabili.Le sue 
istruzioni vengono eseguite una alla vol- 
ta, ma non in modo lineare, in quanto 
esistono strutture, classi, metodi, funzio- 
ni, ecc., che portano a far eseguire par- 
ti dì codice magari scritte molto più avan- 
ti o molto prima nel listato del sorgente. Il 
compito di tenere F ordine di ogni istruzio- 
ne viene affidato ad un puntatore: I' "EIP". 
Una volta eseguito, il programma stringe 
un rapporto molto stretto con questo pun- 
tatore, leggendo F istruzione puntata dall' 
EIP e aggiungendo ad esso la lunghezza 
in byte dell' istruzione letta ed eseguendo- 
la. Tutto questo in modo ciclico finché non 
si arriva ad una chiusura normale o ano- 
mala dell' applicazione. Il segmento di te- 
sto inoltre non ha permesso di scrittura, 
poiché è bene evitare qualsiasi tentativo 
di modifica del codice. 

:: Il segmento dati e Bss 

Il segmento dati (data segment) contie- 
ne le variabili statiche e globali inizializ- 
zate del programma, mentre il segmento 
bss contiene le stesse non inizializzate. 

Anche-questi segmenti hanno una memo- 
ria fissa, perchè vivono durante F esecu- 
zione del programma memorizzate in loro 
segmenti di memoria. Il permesso di scrit- 
tura però è abilitato. 

:: Heap 

Il segmento heap è una parte molto 
particolare delta memoria che il pro- 
grammatore può toccare con mano. 

E un segmento dinamico che si gonfia e si 
restringe a seconda delle necessità. Vie- 
ne gestito dal programmatore attraverso le 
funzioni di allocazione dinamica della me- 
moria e dal processore attraverso com- 



© Ecco che la nostra applicazione viene eseguita, a voi il compito 
di darla in pasto ad un debugger. 



plessi algoritmi. Lo heap si espande poi, 
sempre verso indirizzi di memoria più alti, 
accostandosi allo stack. 

:: SÌ3GK 

Guest' ultimo è un segmento altrettanto 
particolare e molto analizzato soprattut- 
to In fase di bug-hunting ed exploitìng. 

Viene utilizzato come contenitore tempo- 
raneo di variabili e dati nelle chiamate a 
funzione, anch' esso di dimensione va- 
riabile. Quando infatti I' EIP arriva ad una 
chiamata a funzione (jump, cali, branch, 
ecc..) ci saranno sicuramente delle varia- 
bili che verranno passate come argomen- 
to. Lo stack ci arriva in aiuto prendendo 
in consegna queste variabili (compreso 
F indirizzo di ritorno all' istruzione del pro- 
gramma che servirà per riportare I' EIP 
all' indirizzo corretto una volta terminata 
la procedura) e conservandocele per gli 
utilizzi all' interno della fuzione stessa. Lo 
stack ha una struttura FILO (first in - last 
out), quindi il primo elemento ad entrare 
sarà I' ultimo ad uscire, proprio come se 
fosse un filo con un nodo all' estremità a 
cui vengono aggiunte delle perline. Per te- 
nere traccia dei dati nello stack si utilizza 
un registro: I" ESP. Questo è un puntatore 
alla cima dello stack quindi tiene conto de- 
gli elementi presenti partendo da quello in- 
serito per ultimo. I dati in questo segmen- 
to si inseriscono attraverso F istruzione as- 
sembly "push" e vengono estratti tramite I' 
istruzione "pop", facendolo espandere ver- 
so indirizzi più bassi verso lo heap. 

:: Esempio 

Consideriamo ora un esem- 
pio di codice, lo troviamo nella 
sezione Codice su hackerjournai.it. 
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Il codice presentato è un banalissimo pro- 
grammino in C, che contiene diversi tipi 
di variabili: una variabile globale non ini- 
zializzata in testa al codice, una variabi- 
le in una funzione, una static inizializzata 
e un puntatore a cui abbiamo allocato 20 
byte di memoria. Vediamo come si com- 
portano: una volta che il programma viene 
eseguito, il codice compilato viene inseri- 
to nel segmento di testo, mentre ogni va- 
riabile verrà ordinata ner proprio segmen- 
to di competenza in base alla propria de- 
finizione. Gli indirizzi di memoria più bassi 
individuano il segmento di testo, cui segue 
il segmento dati, bss, heap e stack che è 
rappresentato da indirizzi di memoria più 
alti. Nel data segment verranno organiz- 
zate tutte quelle variabili statiche e globali 
inizializzate, e in questo caso quindi il seg- 
mento conterrà la variabile statica definita 
nella main. Nel bss invece saranno desti- 
nate le controparti del data segment, quin- 
di le variabili non inizializzate come quella 
globale in cima al codice. Successivamen- 
te si arriva nello heap. In questo segmento 
verrà indirizzata la variabile "b", a cui sono 
stati allocati 20 byte di memoria. Lo heap 
infatti viene caricato con questa porzione 
di memoria e si espande verso F alto per 
fare posto alla dimensione della variabile. 
Infine si arriva allo stack che in questo ca- 
so non ha nessuna variabile di argomento 
da contenere e deve solo calcolare i byte 
da riservare per le variabili locali e salvare 
F indirizzo di ritorno. Una volta fatto questo 
creerà quindi un frame (un pacchetto) e vi 
inserirà questi dati (processo noto come 
"prologo della funzione"), A questo punto 
la funzione verrà eseguita normalmente e 
alla sua conclusione, prima di eliminare il 
frame, F esecuzione del programma pas- 
sera di nuovo alla funzione main(). 

Dir3l 
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C'è un modo muovo di fare economia 




coniali maiuscola 



Brisi economica, lavoro dif- 
ficile da trovare o mantenere, 
finanza che gioca a fare 
la creativa. E noi in mezzo 
(qualcuno direbbe "e io pago..."). 
Si può subire passivamente o provare 
a capire, per vedere se possiamo fare 
qualcosa. A noi piace capire. 

ss Capitalismo 

e socialismo pan sono 

Economisti e politici pense- 
ranno "che sciocchezza", pas- 
sando avanti (ma noi siamo gente 
curiosa e continuiamo a leggere: 
almeno è un messaggio nuovo). 
'Entrambi i sistemi si basano infatti su 
un elemento comune: mettere al centro 
il capitale. Uno per divinizzarlo, l'altro 
per demonizzarlo, E c'è altro; entrambi 
hanno dimostrato di essere inadeguati 
a supportare un sistema di crescita 
sostenibile. Sembrerà una semplifica- 
zione eccessiva, ma spesso è proprio 
dall'estrarre gli elementi importanti che 
si ricavano le soluzioni migliori, quelle 
che non si perdono in dettagli inutili. 

:: Immaginare un'utopia 

Immaginiamo quanto sarebbe 
bello lavorare in un ambiente in 
cui ci si aiuta e la conoscenza 
dì ciascuno è un bene che viene 
volentieri condiviso con gii altri. 
In cui il profitto prodotto col proprio lavoro 




non sia 
generato 
a scapito 
di quaJcun 
altro. In cui la 
sana efficienza 
e l'attenzione agli 
sprechi siano un 
valore, così come l'at- 
tenzione all'ambiente. 
Immaginiamo lavorare 
con colleghi che ti sor- 
ridono non solo per cir- 
costanza. In cui tutti siano 
disponibili ad ascoltarsi, con 
la A maiuscola. Immaginiamo 
un azienda in cui ciascuno ha 
un ruolo il cui contributo è valo- 
rizzato, dal primo all'ultimo dei 
lavoratori, e in cui le decisioni impor- 
tanti sono prese cercando realmente 
il consenso di tutti. Immaginiamo un 
lavoro in cui le divergenze siano com- 
poste mediante il vero ascolto reciproco 
e l'enfasi è messa nel costruire e non nel 
distruggere. Immaginiamo in altre parole 
un mondo lavorativo in cui la Persona è 
messa al centro, con le sue necessità, i 
suoi talenti e le sue difficoltà. Sarebbe 
proprio un bel mondo. 
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:: EdC, chi è costei? 



Era il 1991, in Brasile, quando fu pro- 
posto un modo diversodi fare Economia. 
Idea tanto semplice quanto inno- 
vativa: mettere al centro dell'agire 
economico un soggetto diverso, che 
non sia il capitale ma la persona. 
Idea audace, perché comunque non si 
trattava di creare una nuova ONLUS 
(Organizzazione senza fini di lucro) o una 
Cooperativa, ma piuttosto di creare un 
modo di fare Azienda, e quindi di generare 
profitto, che fosse sostenibile. 
Le regole sono semplici, sulla carta. 

modello di gestione deve garantire di 
mettere la Persona al centro, e non il 
capitale. Questo deve essere supportato 
da un rinnovamento della cultura 
aziendale che ponga la "cultura del 
dare" come fondamento dell'agire 
economico interno ed esterno 
(cioè anche verso utenti e for- 
nitori, anche quelli più rom... 
scatole). Già queste sono 
regole forti da mettere in 
pratica, eppure non è 
tutto. Infatti è anche sta- 

\i bilito che gli utili siano 
ì. gestiti in un modo 
particolare. 
Un terzo deve 
essere reinve- 
stito per la 
crescita 
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:: Una utopìa? 

Le regole sono forti, difficili da assi- 
milare, e non ammettono "mezze 
misure": osi fa bene, o nonservea nulla. 
Eppure oggi ci sono nel mondo 800 
Aziende che operano secondo ii modello 
EdC, dal Brasile agli USA, dalla ex Yugo- 
slavia alle Filippine, dalla Francia all'Italia. 
E ci sono anche 7 poli industriali. 
Entrando in queste aziende si tocca con 
mano quel mondo che abbiamo descritto 
"una possibile utopia". Gente che lavora 
sodo e che lo stipendio se lo suda, ma nei 
cui occhi brilla una luce diversa e le cui 
mani sono pronte a fermarsi per ascoltare 
(con la A maiuscola) chi gli si rivolge. 
In più, le numerosissime tesi e studi pro- 
venienti da ogni angolo della terra hanno 
portato gli Economisti ad inserire nel 
loro vocabolario e nei processi finan- 
ziari, termini come "gratuità", "felicità", 
e "beni relazionali" e tante altre cose che 
fino a poco tempo fa si ritenevano solo 
parte della sociologia. Qualche anno 
fa sarebbe stato impensabile consi- 
derare questi elementi come "intan- 
gibili" e trattarli nella pianificazione 
economica e nell'accounting finan- 
ziario come dei veri e propri "asset". 



dell'Azienda, intesa come infrastrutture 
e (non "o") persone che vi lavorano. 
Un altro terzo va utilizzato per migliorare 
la condizione degli indigenti della zona in 
cui l'azienda opera ovvero migliorare la 
loro condizione in modo strutturale e non 
solo assistenzialistica. Ad esempio for- 
mandoli ed assumendoli, o finanziando 
attività che li possano rendere econo- 
micamente autosufficienti, diventando a 
loro volta parte attiva del "progetto". Infine 
un ultimo terzo deve essere utilizzato per 
supportare la formazione di coloro che 
vogliono apprendere questo nuovo modo 
di fare azienda e di vedere l'economia. 

Il nome che gli fu dato è "Eco- 
nomia di Comunione" (niente a che 
fare con Comunione e Liberazione). 
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Ovvero, ii profitto non è più distinto dalla 

(persona che lo genera e dal motivo per 
cui lo genera. Per anni gli economisti 
hanno detto che un'Azienda EdC non 

- 

■■ : sarebbe potuta sopravvivere nel mercato, 
ì eppure queste aziende continuano ad 



i esistere, ad aumentare di numero e, cosa 
=-J non trascurabile, a generare profitto. 
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rima dì addentrarci nella trat- 
tazione è necessario chia- 
rire cosa significhi il termi- 
ne "port knocking" in ambi- 
to di reti informatiche e quali siano 
i benefici fruibili da questa tecnica. 
In linea generale il termine "port kno- 
cking" descrive una metodologia at- 
traverso Sa quale è possibile accede- 
re a un servizio ospitato su un server 
senza che questo sia effettivamen- 
te attivo. Esistono numerose e distin- 
te implementazioni in tal senso, al- 
cune di queste si basano sull'invio di 
particolari pacchetti a porte chiuse e 
controllate da un packet filter; quan- 
do questi sono ricevuti dal server ven- 
gono analizzati ed associati a deter- 
minate azioni che quest'ultimo intra- 
prenderà. Non ci prolunghiamo ulte- 
riormente nella trattazione dei vari 
modi di intendere il "port knocking" ed 
offriamo di seguito una panoramica, 
quanto più ampia possibile, di quel- 
lo che andremo a realizzare. Jl codi- 
ce integrale lo troviamo sul sito di ha- 
ckerjournal.it nella sezione Codice. 



:: Portknocking 
in armino locale 

Proiettiamoci in una situazione tipica 
all'interno una rete LAN: un server web 
per l'accesso INTRANET al quale fan- 
no riferimento i vari client (si pensi ad 
un aziendadi piccolee medie dimensioni). 
Domandiamoci ora se, in qualche modo, 
sia possibile abilitare il servizio SSH solo 
quando necessario. Se sì, come potrem- 
mo far si che sia uno ed un solo client a 
poter richiedere l'attivazione dello stes- 
so? A tal riguardo possiamo pensare di 
implementare uno script che avvìi il ser- 
vizio SSH solo quando a richiederlo è 
un particolare MAC address associato al 
client "certificato" della nostra LAN. Aven- 
do supposto la presenza di un webserver 
attivo ospitato sul server ed in riferimen- 
to a quanto ipotizzato prima, diviene fon- 
damentale realizzare un semplice MAC 
wrapperche intercetti tutte le richieste HT- 
TP indirizzate al server ricercando quella 
che contenga il MAC Address autorizzato; 
se questa ricerca offrirà risultati positivi al- 



lora lo script si occuperà defl'inizializzazio- 
ne del demone SSH. Procediamo dunque 
con la realizzazione dello script da avviare 
sul server, facendo conto che il MAC Ad- 
dress relativo al client considerato affida- 
bile sia 00:00:00:03:13:37. 

1. In prima istanza utilizzeremo le libre- 
rie libpcap ed ethemet per sniffare tut- 
ti i pacchetti dì tipo http e controllare i 
MAC Address. 

2. Ci occuperemo quindi di scrivere una 
funzione che analizza tutti i MAC Address 
alla ricerca di quello autorizzato; qualora vi 
siano riscontri avvieremo il servizio SSH. 

3. Definiamo, dunque, una funzione di lo- 
opback che estragga il MAC Address da 
ogni pacchetto intercettato, per ognuno di 
questi utilizzeremo la funzione preceden- 
temente realizzata alla ricerca di quello 
autorizzato. Infine, imposteremo un filtro 
per la cattura dei soli pacchetti TCP desti- 
nati alia porta 80 ed avvieremo lo sniffer: 
Realizzato lo script, assicuriamoci che sul 
server sia attivo esclusivamente il web 
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server e testiamo il lavoro svolto. 

4. Una volta compilato, avviamo il MAC 
Wrapper. 

5. Dal client autorizzato proviamo ad in- 
viare una richiesta HTTP al web server; 
prima di farlo, però, ci preoccuperemo, 
ovviamente, di modificare il MAC Ad- 
dress dell'interfaccia di rete. 

6. Fatto questo, controlliamo se effetti- 
vamente il servizio SSH è stato avviato 
dal server. 

:: Portknocking 
in ambito remoto 

Occupiamoci ora di realizzare uno 
script che ci consenta di avviare 
il servizio SSH anche da remoto. 

Lo scenario tipico d'utilizzo potrebbe esse- 
re un server web sul quale vogliamo attiva- 
re il login remoto solo quando necessario 
riducendo al minimo il rischio di attacchi 
dovuti alla presenza di un servizio sempre 
attivo. A titolo esemplificativo, realizzere- 
mo uno script che awii il demone SSH so- 
lo quando sia inviata una ben determina- 
ta stringa al server web in questione (con- 
sidereremo, pertanto, questa stringa una 
sorta di passkey di abilitazione ai servi- 
zio SSH). Il nostro environment è compo- 
sto da un web server apache ospitato sul 
sistema operativo GNU/Linux Debian dal 
server remoto. Un'opportuna riflessione ci 
suggerisce che un modo per analizzare gli 
indirizzi in questo contesto è dato dai log di 
accesso di apache. Dovremo quindi realiz- 
zare una copia dei log di apache avendo 
cura di eliminare gli eventuali riferimenti al- 
la password già presenti e restare in ascol- 



to analizzando tutte le richieste destinate 
al web server. Quando sarà formulata una 
richiesta di tipo hostname?password allo- 
ra faremo si che il servizio SSH prenda vi- 
ta. I log di accesso di apache su Debian 
sono generalmente memorizzati nella 
cartella /var/log/apache/access.log; cre- 
eremo pertanto un loop che si occupi di 
copiarli, eliminare le eventuali occorren- 
ze alla password già presenti e iniziare 
a ricercare la password definita. 

7. Per farlo, prima di tutto, definiamo 
il percorso dei log e la password che 
attiverà SSH. 

Realizziamo quindi ri parser che si oc- 
cuperà della ricerca della stringa verifi- 
cando, per ogni riga del log, se la pas- 
sword corrisponde effettivamente a 
quella definita ed in caso affermativo ef- 
fettuiamo la copia del file di log di Apa- 
che eliminando le occorrenze trovate: 

8. Avviamo, in questo caso, SSH e ri- 
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pristiniamo i log di apache. Se la ricer- 
ca non offrirà riscontri, invece, esegui- 
remo semplicemente un'istruzione nul- 
la e rimarremo in ascolto. 

9. Per aprire il file di log di apache e leg- 
gerlo utilizzeremo un semplice ciclo che 
punti alla funzione checkJogsQ appe- 
na realizzata. 

10. Anche in questo caso verifichiamo 
il lavoro svolto utilizzando il nostro stru- 
mento preferito: il terminale. 

11. Avviamo l'URL wrapper sul server 
remoto. 

12. Da remoto, quindi, inviamo una 
richiesta al server utilizzando la 
passkey definita. 

13. Controlliamo ora se sul server abbia- 
mo ottenuto l'effetto desiderato. 



:: GonClUSlOni: 

Che il nostro fine ultimo sia la re- 
alizzazione di un'infrastruttu- 
ra di rete estremamente sicura o 
!a programmazione di una sofi- 
sticata backdoor che si attivi so- 
lo a determinate sollecitazioni, 
sicuramente il lettore avrà, a questo 
punto, intuito che esistono innume- 
revoli implementazioni di port kno- 
cking realizzabili che hanno come uni- 
co ostacolo esclusivamente la fanta- 
sia. Vi esortiamo quindi a realizzare la 
vostra, magari prendendo spunto da 
quanto appreso in questo articolo. 

Giovanni Federico 
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tartan un file con eMule 
richiede mesi? Eoa il cliBitt Msto 



si ridaeoBB i temi perù. 



T 



utti conosciamo eMule. 
è uno tra i programmi 
per il P2P più utilizzati in 
Italia e sicuramente il più 
famoso, anche se spesso fama e 
qualità non vanno di pari passo. 
Chi ha provato a utilizzarlo almeno 
una volta (e soprattutto lo utilizza 
sporadicamente) sa di cosa stiamo 
parlando: ha un ottimo bacino di fonti 
e consente di trovare anche file con- 
siderati rari, ma tra il clic per avviare 
il download e lo start effettivo ci 
passano le calende greche, sempre 
che nel frattempo non abbiamo 



deciso di annullare l'operazione cer- 
cando il contenuto che ci interessa 
con altri sistemi. Tanti file, tante fonti 
ma tempi lunghi.., perché? Il sistema 
adottato dal Mulo per gestire l'ac- 
cesso a) download di un file è basato 
sullo scambio di crediti. Quando 
qualcuno scarica un file utilizzando 
materiale che abbiamo messo in con- 
divisione acquisiamo uno (o più, a 
seconda della modalità che abbiamo 
scelto) crediti, quando proviamo a 
downloadare un file che ci interessa 
ci troviamo davanti alla fila di tutti 
quegli utenti che vogliono lo stesso 



file che vogliamo noi. In realtà, senza 
addentrarci troppo in profondità nel 
sistema di file transfer utilizzato da 
eMule, noi (e gli altri client) non sca- 
richiamo un intero file da un'unica 
fonte e non siamo accodati a un unico 
client per scaricare il medesimo file. 
Ogni contenuto scambiato sulle reti 
eDonkey2000 (eD2K) e Kademlia 
viene spezzettato in tronconi da 
9,28MB chiamati part. che possiamo 
scaricare da uno o da più client con- 
temporaneamente. Per semplicità 
però, immaginiamo di scaricare 
da una fonte sola: noi quindi clic- 
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O eMule ASF, un leech Mod aggressiva, che 
caricava i server e riempiva di spam. Ora è 
morto, le difese del Mutolo hanno bannato. 

chiamo sul download e ci ritroviamo 
all'ultimo posto della hit-parade dei 
downloader, indipendentemente 
dalla quantità di crediti maturati. La 
nostra fonte, ogni mezz'ora circa, 
dà un'occhiata alla coda di attesa e 
riordina la fila sulla base dei crediti 
che ogni client ha maturato. Chi 
ne ha di più ha la precedenza e a 
parità di crediti viene prima chi prima 
ha fatto la richiesta, sulla base del 
vecchio adagio "Chi prima arriva 
meglio alloggia". Va da se che se 
siamo dei novellini di eMule, oppure 
se lo abbiamo installato ex-novo e 
abbiamo pochi file a disposizione 
per l'upload o pochi client hanno sca- 
ricato utilizzandoci come fonte, noi 
non scaricheremo mai. Beh... proprio 
mai no, ma ci vorranno giorni, per 
non dire settimane, prima di riuscire 
a completare un download. Che fare? 
Abbandoniamo it tentativo o cer- 
chiamo una scorciatoia? E che scor- 
ciatoia soprattutto? Una ci sarebbe, 
ma va contro ai princìpi e alla salute 
del file sharing e delle sue reti. 



:: l vampiri 



Affondano i denti nel collo delle loro 
vittime e ne succhiano il sangue 
sino a portarle alla morte, il mito 
di Nosferatu lo conosciamo tutti. 

Ora i vampiri attaccano il Mulo, si 
chiamano leech Mod (Mod san- 
guisuga), e sono client modificati 
(Mod appunto) da utenti stanchi di 
aspettare settimane per scaricare un 
file. Va da se che, da buoni vampiri, 
succhiano (in questo caso le code 



di attesa) e scombinano il sistema 
degli accodamenti e dei crediti, in 
quanto ingannano le fonti con crediti 
non loro e non mettono a disposizione 
file (o banda) per i'upload. È facile 
capire come un utilizzo massiccio di 
client basati su questa filosofìa por- 
terebbero in breve tempo alla morie 
delle reti di file sharing, con somma 
gioia delle Major, quindi il team di svi- 
luppo di eMule è corso ai ripari svi- 
luppando sistemi di difesa (i cosid- 
detti antileech) che bannano quei 
client dal comportamento scorretto 
o comunque deleterio per la rete. Di 
contro, anche chi sviluppa ieech Mod 
non se ne sta con le mani in mano, 
sfornando modifiche o rilasciando 
nuovi client a mano a mano che quelli 
vecchi vengono bloccati dalle difese 
del Mulo. Un ieecher si presenta uti- 
lizzando credenziali altrui, quindi 
mostrandosi come un client ufficiale 
e come un altro utente. Ogni utente 
è identificato da una stringa detta 
userhash, la targa che lo identifica e 
che serve anche per gestire le priorità 
di attesa in fase di download e di smi- 
stare correttamente i crediti dopo aver 
effettuato download e upload di pan 
di file. Un buon vampiro, collegandosi 
con altri client per scaricare materiale, 
ha a disposizione gli userhash degli 
utenti con cui ha avuto a che fare e li 
riutilizza presentandosi sulla rete con 
credenziali e crediti falsi, chi ci rimette 
è (Ignaro utente a cui è stata rubato 
l'userhash, che risulterà connesso 
a far danni in giro per la rete anche 
quando non lo è. Presentandosi sotto 
mentite spoglie un leech MOd scala 
rapidamente le code di attesa, per- 
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O DevilsMod, un client fatto per le comunità 
di ieecher. Permetteva tempi di download ri- 
dotti per gli appartenenti alla comunità. 



. stato uno trai primi Bad Mod. Molto 
apprezzato, ha avuto aggiornamenti che gli 
hanno permesso una vita longeva. 

mettendo download più rapidi, in più 
ha a disposizione una quantità infi- 
nitamente superiore di risultati alle 
ricerche, non avendo blocchi in tal 
senso. La rete eD2K è formata da 
client e server intermedi, che con- 
tengono le informazioni per reperire 
i file (nome del file ricercato e utente 
che lo mette in condivisione). Un client 
eMule normale ha a disposizione un 
numero limitato di risultati in ricerca, 
altrimenti si saturerebbero i server, 
un leech Mod no, quindi costringe il 
server a cui è collegato a una mole di 
lavoro che progressivamente tende a 
saturarlo per avere a disposizione il 
maggior numero possibile di file che 
corrispondono ai critèri di ricerca. 
Il vampiro è soddisfatto e il server 
crolla, mors tua vita me a. 

..- Giochi e candele 

Tempi dì scarico rapidi, un bacino di 
materiale infinito, una scia di client 
derubati e di server caduti. Questo 
è l'operato di un leech, un client che 
sfrutta le falle di una rete e di un 
sistema diffuso come quello di eMule 
per ottenere il massimo con uno sforzo 
quasi nullo, Naturalmente la messa al 
bando di leech Mod avviene in tempi 
rapidi e in rete ce ne sono a disposi- 
zione subito di nuovi: chi scegliesse 
di utilizzare client del genere deve 
mettere in conto di dover cercare rapi- 
damente un sostituto. Ricordiamoci 
che le vittime dei vampiri o diventano 
vampiri anch'essi (e non è questo 
il caso), o muoiono. Vogliamo darla 
vinta alle Major anche stavolta? 
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Qogliamo conoscere fin nel 
minimo dettaglio il traffico 
che attraversa la nostra re- 
te locale? Una delle miglio- 
ri soluzioni è rappresentata da Wi- 
reshark (http://www. wireshark. 
org), un packet sniffer, o analiz- 
zatore di protocollo, open source 
disponibile per i sistemi operativi GNU/ 
Linux, Microsoft Windows e Mac OS 
X. Scopriamo quindi come installare 
ed usare questa applicazione, adot- 
tando come sistema d'esempio un PC 
con Ub-untu 9.10 Karmic Koala inserito 
in una piccola LAN, tenendo presen- 
te che, installazione a parte, il suo fun- 
zionamento è sostanzialmente analogo 
ancne nella versione per Windows, 



:: installiamo 

e avviamo Wireshark 

Per installare Wireshark apriamo 
una console di terminale: entriamo 
nel menu Applicazioni e clicchia- 
mo quindi su Accessori > Terminale. 
Nella console eseguiamo semplicemen- 
te il comando "sudo apt-get instali wire- 
shark", assicurandoci che la connes- 
sione ad Internet sia attiva. Per avvia- 
re il packet sniffer è possibile cliccare 
sul menu Applicazioni > Internet > Wi- 
reshark; in questo caso, però, non risul- 
terà disponibile per l'analisi alcuna inter- 
faccia di rete. Per utilizzarlo al pieno del- 
le sue possibilità è necessario eseguire 



l'applicazione con i permessi dell'utente 
root: per fare questo eseguiamo in una 
console il comando "sudo wireshark" do- 
ve ci verrà richiesto l'inserimento della 
password del nostro utente principale. 
Wireshark presenta un'interfaccia grafi- 
ca piuttosto curata. Per iniziare a cattu- 
rare i pacchetti dalla rete clicchiamo sul- 
la prima icona a sinistra nella toolbar: 
comparirà una finestra in cui verranno 
elencate le interfacce di rete disponibili, 
con i relativi indirizzi IP assegnati. Nella 
riga di ciascuna interfaccia sono presen- 
ti due pulsanti, Start e Options: il primo 
fa partire la cattura dei pacchetti mentre 
il secondo permette di impostare alcuni 
parametri importanti per l'operazione. 
Per analizzare il traffico che passa sulla 
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prima interfaccia ethemet, quindi, clic- 
chiamo sul pulsante Start della riga ethQ. 
A questo punto, nella finestra principa- 
le di Wireshark verranno mostrati i dati 
in transito sull'interfaccia di rete prescel- 
ta. Per terminare la cattura dei pacchet- 
ti, quindi, nella toolbar clicchiamo sul- 
la quarta icona da sinistra, che raffigura 
una scheda di rete con una 'x' sopra. 

:: Le informazioni fornite 

Terminata fa cattura dei pacchet- 
ti, cerchiamo di interpretare corret- 
tamente le molte informazioni ot- 
tenute. I dati in transito nell'inter- 
faccia che abbiamo scelto di ana- 
lizzare vengono suddivisi in ri- 
ghe, ciascuna delie quali è de- 
dicata ad un singolo pacchetto. 
Da sinistra verso destra, quindi, ecco il 
significato dei campi presenti in ogni ri- 
ga: innanzitutto abbiamo il numero del 
pacchetto (campo No.), poi a seguire il 
timestamp del pacchetto (Time), l'indi- 
rizzo di origine (Source) e quello di de- 
stinazione (Destination) del pacchet- 
to, il protocollo usato (Protocol) e infine 
delle informazioni sul pacchetto stes- 
so (Info). Sotto la lista dei pacchetti in 
transito, quindi, troviamo la sezione 
dell'interfaccia che mostra informazio- 
ni dettagliate sul pacchetto seleziona- 
to e, ancora più sotto, è presente una 
rappresentazione ASCII ed esadeci- 
maie del pacchetto stesso. 
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57937 > telnet i 




2 6.009096 
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57937 ? telnet [ 
Telnet Data 
57937 > telnet | 
Telnet Data . . . 
telnet > 57937 { 
Telnet Data ... 
Telnet Data ... 
Telnet Data . . . 




3 0.000121 

4 6. 063930 

5 S. 093940 

6 0.069865 
T 0. 010611 
S 0.010034 








192.168.1.4 
192.168.1.5 
192.168,1.4 
192.168.1.4 
192.168.1.5 
192.168.1.5 
192.168.1.4 
192.168.1.5 
192.168.1.4 
192.168.1.5 
192.168.1.4 




9 0.010100 
19 0.019228 

11 0.021662 

12 0.021255 
lì 0.02189B 

l> Frante i (74 bytes 
l> Ethernet II, Sre: 
b Internet Protocol 

b Transmlssion Cont 




Telnet Data ... 
Telnet Data . . . 
Telnet Data . . . 








on 

Coi 

S 

rol 


. 








wire, 74 bytes captured) 

«palEl_a7:8a:4e (0&:8f:b0:a7:8a:4é). DSt: ASUsteKC_30:61:fl (00 
re: 192. 168. 1.4 (152.168.1.4). Dst: 192.168.1.5 (192.168.1.5) 
Protocol, Src Port: 57937 <57937), OSt Port: telnet (23), Seq: 


15:f2:36:01:fl) 
0, Len: 





O Dopo aver iniziato a catturare i pacchetti in transito su un'interfaccia, la finestra di Wireshark 
assumerà questo aspetto. Al centro della finestra troviamo l'elenco dei pacchétti catturati. 



:: Un esempio pratico 

Ora che sappiamo orientarci nei 
principali elementi dell'interfaccia 
di Wireshark, è il momento di effet- 
tuare una semplice prova di analisi. 

Tutti ci sconsigliano, giustamente, di 
usare telnet per gestire sessioni remo- 
te? A questo punto possiamo scopri- 
re, nel modo più diretto possibile, per 
quale motivo una tale pratica sia forte- 
mente sconsigliabile. Avviamo la cat- 
tura dei pacchetti sull'interfaccia ethO, 
quindi colleghiamoci da un PC del- 
la nastra rete locale cablata ad un al- 
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Capture 
gu Interface List 

Uve list of the capture interface^ (counts incomlng pacleelS) 
Start capture ori interface: 



Files 
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Open 



fri ettiO 

W ethl 

Èri Pseudo-device that captures on ail interfaces 

tri USB bus number 1 

£3 USB bus number 2 

ì& USB bus number 3 

© USB bus number 4 



Open a previously captured file 
Open Recenti 

q Sa m pie Captures 

A rieh assortmènt Of èxample capture files on tfl 



Capture Options 

Start a capture with detailed options 
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© L'interfaccia grafica di Wireshark, Adifferenzadi altri analizzatori di protocollo, che si utiliz- 
zano da terminale, Wireshark è dotato di un'interfaccia piuttosto curata e semplice da usare. 

;•...- .. 



tro, tramite telnet; ad esempio, dall'in- 
dirizzo IP 192.168.1.4 colleghiamoci a 
192.168.1.5 lanciando il comando "tel- 
net 192.168.1.5". Aperta la sessione te- 
lnet, inseriamo utente e password per 
accedere alla macchina remota, lan- 
ciamo una manciata di comandi e infi- 
ne chiudiamo la sessione. 

Fatto questo, torniamo alla finestra 
di Wireshark e terminiamo la cattu- 
ra dei pacchetti. Quello che vedremo, 
nella lista dei pacchetti mostrata dal 
programma, sarà un lungo elenco di 
pacchetti scambiati tra gli indirizzi IP 
192.168.1.4 e 192.168.1.5. Il program- 
ma mette a nostra disposizione una 
potente funzionalità, Follow TCP Stre- 
am, che ci permette di seguire il flusso 
di dati in una comunicazione TCP; tut- 
to quello che dobbiamo fare è selezio- 
nare un pacchetto che fa parte di que- 
sto flusso: per esser sicuri, scegliamo 
un pacchetto con Protocol TELNET 
oppure con Protocol TCP e un campo 
Info che contenga riferimenti a telnet, 
Fatto ciò, premiamo il tasto destro del 
mouse e nel menu che appare selezio- 
niamo la voce "Follow TCP Stream". 
Comparirà una finestra con la trascri- 
zione accurata della nostra sessione 
telnet, compresa la password in chiaro 
inserita, i comandi digitati e l'output su 
schermo del terminale remoto! È facile 
immaginare, quindi, perché ovunque si 
sconsiglia l'uso di telnet: tutto il traffi- 
co viaggia in chiaro da una macchina 
all'altra, password comprese. 
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sticatissimi apparati come quelli che si vedono 
nei film per spiare ciò che viene fatto da qualcuno 
con il computer: basta infatti intercettare in 
qualche modo quanto viene scritto usando la tastiera 

per riuscire a ricostruire le informazioni che interessano, che 
siano semplici password di accesso o intere conversazioni 
via chat, messenger o email, Lo strumento che si usa per 
questa operazione di intercettazione si chiama keylogger: 
agisce in diversi modi e può essere più o meno sofisticato, 
ma il principio di funzionamento è sempre lo stesso. 

:: Requisito fondamentale 

Per poter installare un keylogger, qua- 
lunque sia il tipo scelto, è necessario avere 
accesso fisico alla macchina destinata a 
riceverlo, quella da tenere sottocchio. 
Evitiamo volutamente di affrontare il discorso 
che riguarda l'installazione da remoto in 
quanto dovremmo in tal caso e per forza 
sconfinare nel campo del malware e della 
forzatura dei sistemi dì protezione di un 
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computer: nessuno mette in dubbio che 
molti malware contengano anche una 
funzione in grado di registrare l'input 
della tastiera, ma per poter spiegare 
tecniche simili sarebbe necessario 
disporre di molto più spazio. Per ora, 
ci localizziamo su quei tipi di keyìogger 
che possono essere installati potendo 
accedere direttamente al computer 
della vittima: un collega o un dipen- 
dente in ufficio, la moglie o la fidanzata 
che si sospetta di infedeltà e quant'altro, 
ognuno ha le proprie esigenze. Ricor- 
diamoci, però, che il confine della vio- 
lazione della privacy è molto sottile e 
saremo direttamente responsabili di 
quanto faremo. Hacker avvisato... 

:: Tipo 1: hardware 

Il primo tipo di keyìogger che esa- 
miniamo è un dispositivo har- 
dware che va collegato al com- 
puter e che si occupa di registrare, 
in maniera trasparente e invisibile, 
quanto viene digitato sulla tastiera. 
I keyìogger hardware possono 
essere caratterizzati da due tipologie 
costruttive. La prima, molto semplice, 
è costituita da un filtro che viene posto 
in serie al connettore PS/2 della tastiera 
e che registra internamente i codici dei 
tasti premuti. Questo keyìogger deve 
essere periodicamente rimosso, letto 
con strumentazione apposita ed even- 
tualmente reinstallato per poter prose- 
guire nell'operazione d\ spionaggio. Evo- 
luzioni di questo keyìogger permettono 
di inviare direttamente le sequenze di 
codici, attraverso una connessione con 
l'esterno come un trasmettitore wireless 
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O La schermata del pannello di controllo 
di un keyìogger software. 



o un collegamento via cavo con un altro 
dispositivo. Il problema principale che si 
presenta nell'uso di questo keyìogger 
sta nel fatto che è facilmente indivi- 
duabile Osservando i connettori sul retro 
del computer: a meno che non si tratti 
di un PC che non disponga dì faGiie 
accesso al retro, è evidentemente dif- 
ficile riuscire a installarne uno o per lo 
meno fare in modo che non venga sco- 
perto. Negli ultimi tempi, però, l'inter- 
faccia PS/2 sta cadendo sempre più ì 
disuso, soppiantata progressivamen 
dalle tastiere USB o wireless (che 
passano comunque via USB). Esiste 
comunque una possibilità di usare 
un keyìogger hardware: si tratta di un 
dongle USB (ma in alternativa ali'USB 
si può usare qualunque altro collega- 
mento, come la porta seriale o la porta 
parallela) che, opportunamente pilotato 
da driver software, può compiere ugual- 
mente il proprio compito di spione. 

È superfluo dire che, oltre a permanere 
il rischio di individuazione qualora chi 
usi il PC possa controllarne i connettori 
sui retro, in questo caso è presente 
anche un rischio relativo all'individua- 
zione del software. Esistono tecniche 
per nascondere i processi e i driver in 
esecuzione sul computer dai metodi di 
individuazione normali (come il Task 
manager di Windows), ma software 
opportunamente costruito può rilevarli 
e segnalarli alla vìttima, 
in entrambi i casi, dongle su PS/2 oppure 
su altro tipo di connettore, basta un'oc- 
chiata al retro del computer per indivi- 
duarlo e rimuoverlo: la miglior difesa 
quindi è costituita dal rendere sempre 
e facilmente accessibile il retro del 
nostro computer quando altre persone 
possono usarlo in nostra assenza. 

:: Tipo 2: software 

Il secondo tipo di keyìogger è costi- 
tuito semplicemente da software 
opportunamente scritto per inter- 
cettare i segnali della tastiera. 

Per funzionare, un software di questo 
tipo deve necessariamente inserirsi in 
qualche modo nella catena di comuni- 
cazione delle informazioni che va dalla 
tastiera stessa al kernel dei sistema 
operativo che deve processare i segnali. 
Per esempio, può inserirsi prima del 
driver software della tastiera, intercet- 



tandone i segnali, registrandoli in un log 
di qualche tipo (file di testo o invio diretto 
via connessione a Internet) e lasciandoli 
poi scorrere per il percorso normale 
in modo che l'utente non si accorga 
dell'intrusione. Addirittura, alcuni tipi 
di keyìogger sono in grado di catturare 
schermate di quanto accade sul PC, in 
forma di immagini statiche o di video. 




care molti keyìogger, ma non tutti. 

Fermo restando che questi software 
usano tutti tecniche stealth per non 
essere individuati se non mediante 
opportuni strumenti, va notato che 
sono costretti a lasciare una traccia 
nel sistema su cui vengono installati: 
devono essere presenti uno o più file 
che vengono avviati dal sistema durante 
il boot, i meno evoluti salvano in locale 
testi e immagini che costituiscono il 
log e quelli che trasmettono diretta- 
mente i log via Internet o connessione 
di rete causano occupazione di banda 
che può risultare sospetta agli occhi di 
chi in quel momento non sta usando 
browser, client email o altri programmi 
di comunicazione, Se non si è sufficien- 
temente accorti in termini di sicurezza 
del proprio sistema, questi keyìogger 
risultano un osso duro da scovare e 
da rimuovere. Gli antivirus in grado di 
rimuovere il malware possono ricono- 
scere i più diffusi, ma poco possono per 
quelli di nuova concezione che hanno 
così il tempo sufficiente per rubarci pas- 
sword o numero di carta di credito. Esi- 
stono sistemi per ingannarli, ma poco 
pratici: per esempio l'uso di una tastiera 
virtuale (come quella di Accesso faci- 
litato di Windows) da usare col mouse, 
ma nulla vale come tenere gli occhi 
bene aperti e le difese sempre alte. 
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[*] Initial iriiig pregl"«> 




[ DOME] 


- l'ewcting OS... 




- Clearit\9 log file (,twr 


Aog/lyius.log),., 


[«*CJ 


Program «ersi ori: 


1.2.7 


Operati ng system: 


Linux 




Operating system nane* 


Linux 




Cipe-ratina. system uei'-sion; 


2.6.26-2-686 




Kernel uersion: 


2.6 .26-2-685 




Hardware platform; 


tese 




Hostname: 


d-btil 




Auditori 


Giovanni Federico 




Prc.fi lei 


i'etc/lvinis,'default.prf 




Log file; 


Aw/losi' 1 anis. log 




Report file: 


/war/log/lynis-r -eport.dat 




Rep-ort versioni 


1.0 





[ Press [EHIER] to continue, or- [CTFLM to stop ] 



O Figura 1 : La tese di inizializzazione di Lynis offre un quadro 
preliminare perla formulazione del report, avendo cura di eviden- 
ziare gli aspetti salienti del sistema. 



1 p 22 I.J www.hackerioumal.it I 



- SSH optionj Protocol,,, 

- SSH option: StrictModes... 

- SSH option: Al LowUsers. , . 

- SSH option: ftlLowGroups... 

|[ Press [ENTER] to continue, or [CTRLl+C to stop ] 



[+] SNHP Support 



- Check irig running SNHP daenion... 
[ Press [EhTER] to continue, or [CTRLl+C to stop 3 



[+] Batai«ses 



- MySUL pi-oc&ss status.,, 

- PostgreSQL processes status*., 

- Oracle processes status... 

[ Press [ENTER] to continue,, or [CTRL]*C to stop 3 



[+] UDflP Services 

- Checking CpenLDfìP instance,,. 
[ Press [ENTER] to continue, or [C1K.]-*C to sto|> ] 



[[+] Softwa-e: PHP 



- Check ing PHP... 

- Checking. PHP disabled furìctions,,, 

- Checking register.globals option... 

- Check ing expesejphp option,, . 

- Checking enable_dl option... 

- Checking allow.urLfopen option... 

I Press [ENTER] to continue, or [CTRL3+C to stof> ] 



igura 2: II processo di auditing di Lyt 
erto un chiaro resoconto dette criticità rilevate. 




{ ^ ] 

[ QK] 

[ HOT FOUHD ] 

[ HOT FOUHD ] 



[ HOT FOUHD ] 



[ HOT FOUHD 3 
[ HOT FOUHD ] 
[ HOT FOUHD ) 



[ HOT FOUHD 3 



[ FOUHD 3 
[ FOUHD ] 
[ OK ] 
[ HtìRWIHG 3 
[ OFF 3 
[OH] 



<e d'analisi e of- 



essere prese in considerazione. Mal- 
grado la naturale evoluzione dei si- 
stemi operativi e degli applicativi sof- 
tware sia un processo volto a miglio- 
rare in modo concreto l'esperienza in 
termini di qualità e sicurezza perce- 
pita dall'utente, spesso vi sono de- 
terminate azioni, dimenticanze» er- 
rori che vanificano di fatto le miglio- 
rie apportate al software da parte dei 
produttori. Per rendere maggiormen- 
te chiaro ciò a cui ci riferiamo, consi- 
deriamo, per un attimo, l'impatto che 
avrebbe, ad esempio, un'errata con- 
figurazione di un server FTP qualora 
un utente anonimo avesse gli stessi 
privilegi in lettura ed in scrittura, re- 
lativamente ad una stessa directory, 
rispetto ad un utente autorizzato. 
Sebbene questo sia un esempio estre- 



mamente generalizzante, è facile intui- 
re che, per quanto l'adozione di sistemi 
estremamente moderni, efficienti e si- 
curi possa andare, per certi versi, a li- 
mitare eventuali danni imputabili ad er- 
rori architetturali presenti nel software, 
riuscire ad individuare eventuali bug 
dovuti alla cattiva implementazione di 
un servizio in termini di configurazione 



L'auditing di un sistema informatico o, 
più in generale, di un'infrastruttura IT, 
neve necessariamente tener conto di 
;uni aspetti che prescindono dal sof- 
are fine a se stesso; deve pertanto 
sere un processo che possa offrire 
quadro di insieme dell'environment 
tro cui operiamo ai fine di ridurre ai 
nimo il rischio che determinate "di- 
■azioni" possano tradursi nell'espo- 
:Ìone dei nostri servizi a vulnerablli- 
del tutto inaspettate. 
Muralmente, è pressoché impossi- 
e determinare a priori se sono sta- 
sommessi errori di configurazione 
. un sistema, soprattutto quando si 
ha a che fare con una varietà estesa 
e distinta di sistemi operativi e quan- 
do, per ognuno di essi, i file e le meto- 
dologie per configurare i servizi cam- 
ino. In tale ottica, pertanto, sarebbe 
rticolarmente utile avvalersi di stru- 
tti capaci autonomamente di et fet- 
are quelle che possono considerar- 
si le operazioni di prassi all'insegna di 
1 "^'accurata analisi dall'interno di un si- 
}ma informatico. 

linea del tutto generale, offrire rispo- 
i a determinati interrogativi quando 
ha a che fare con una moltitudine di 
3 può essere un'operazione che ri- 
tede del tempo e che spesso offre 
ultati direttamente proporzionali alle 
'ilità del sistemista ed all'esperienza 
maturata da quest'ultimo nel corso del 
tempo. Risulta quindi chiaro come tutti 
possano trarre dei benefici dall'avere 
un tool che si preoccupi di determinare 
in maniera del tutto automatizzata ed 
in base al sistema operativo entro cui 
viene adoperato, quando il sistema è 
stato installato e quali patch sono state 
implementate, se e come sono stati or- 
ganizzati file e permessi, a quali dipen- 
denze deve rispondere il sistema, chi 
ha accesso a file di sistema e con qua- 
li privilegi, quali software accedono a 
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• Lettura ed analisi delle informazioni di rete; 

• analisi dei file di configurazione relativi ai servizi attivi sull'host; 

• verifica di software datato e/o vulnerabile; 

• analisi dei sistemi di logging; 

• analisi della configurazione del firewall di sistema; 

• controllo privilegi, permessi dei file ed account utenti; 

• controllo dei certificati SSL scaduti. 






determinate aree riservate del siste- 
ma, quali file di configurazione sono 
scritti in modo corretto e quali no e 
che il livello di esposizione comples- 
sivo presenta il sistema. A risponde- 
re ai nostri interrogativi ci pensa Ly- 
nis, un software open source, for- 
se ai più sconosciuto, ma che, rivol- 
gendosi a network e system admini- 
strator, consulenti di sicurezza e pe- 
netration tester consente, attraverso 
un'analisi di tipo host based, di valu- 
tare il fattore di rischio a cui è espo- 
sta la nostra infrastruttura IT. 
La metodologia con la quale Lynis 
conduce l'auditing del nostro siste- 
ma trae naturalmente vantaggio dal 
fatto che essa è eseguita inter- 
namente ali'host e che quindi l'ap 
plicativo gode di pieno accesso al 
sistema locale, potendo espletare le 
sue funzioni avvalendosi di un quan- 
titativo di informazioni decisamente 
maggiore rispetto ad un auditing to- 
ol di tipo network based. 
Nulla ci vieta, ovviamente, di combina- 
re questo genere di analisi a quella ef- 
fettuata da altri applicativi di altra natu- 
ra massimizzando, di fatto, il risultato 
in termini di completezza e hducendo 
ai minimo il fattore di rischio. 
Resta inteso che Lynis non è un se 
tware per hardenizzare il nostro si- 
stema; esso infatti non modificherà 
in alcun punto il nostro OS bensì si 
limiterà ad offrire un report abbastan- 
za esaustivo dello stato di sicurezza 
del sistema lasciando a noi il compi- 
to di individuare ed adottare le so 
zioni che meglio si adattano ai rise 
eventualmente individuati, 
Il lavoro che il programma svolge va- 
ria da PC a PC, adattandosi al siste- 
ma operativo rilevato. Un elenco di 



OS supportati ed alcuni dei test svolti 
da Lynis è possibile leggerli negli ap- 
positi box. In ogni caso il sito web a 
cui fare riferimento per eventuali ag- 
giornamenti è www.rootkit.nl/projects/ 
lynis.html. L'autore di Lynis è un volto 
ampiamente conosciuto nel panora- 
ma del free software ed abbiamo avu- 
to modo di conoscerlo in HJ 190; stia- 
mo parlando di Michael Boelen: noto 
esperto di sicurezza in ambito UNIX 
nonché autore del famosissimo to- 
ol "Rootkit Hunter" e di svariati script 
molto utili quando si ha a che fare con 
la stragrande maggioranza delle di- 
stribuzioni Linux ed in generale con 
sistemi di tipo unix-like. 
Al momento della scrittura di questo 
articolo l'ultima versióne di Lynis di- 
sponibile per il download è la 1.2.7 rila- 
sciata il 1 Novembre 2009 le cui novi- 
tà sono visibili attraverso il changelog 
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ufficiale del progetto all'indirizzo www. 
rootkit.nl/files/lynis-changelog.html. 



e aggiornamento di Lynis 

Lynis è sviluppato in shell scripting; 
questo rende di fatto l'installazione del- 
lo stesso non necessaria e consente 
l'esecuzione del software anche da di- 
spositivi rimovibili e supporti estemi. 
Qualora volessimo comunque man- 
tenere una copia locale dell'appficati- 
vo per utilizzarlo quando ve ne sia ne- 
cessità o, magari, per renderlo un pro- 
cesso schedulato nella nostra crontab, 
procederemo come di seguito. 
Prima di tutto creeremo una directory 
che conterrà tutti i file di Lynis, scari- 
cheremo pertanto l'archivio contenen- 
te l'applicativo all'interno di quest'ul- 
tima, lo scompatteremo, consentire- 
mo l'esecuzione del file lynis.sh e infi- 
ne, creeremo un link all'eseguibile nel- 
la binary path del nostro sistema. Da, 
shell, con i privilegi di root, pertanto, 
digitiamo: 

# mkdir /usr/local/lynis 

# ed /usr/local/lynis 

# wget http://www.rootkit.nl/files/ 
iynis-l.2.7.tar.gz 

# tar zxvf lynis-1.2.7.tar.gz 

# ed lynis-1.2.7; chmod +x lynis.sh 

# In -s lynis.sh /usr/local/bin/ 
lynis.sh 

Da questo momento Lynis sarà dispo- 



liw>: pKiiuord -.«* ^pasi 



»mt- [*jstriWSI-9K?l 

an (i iwjIo- tast CtssUiMrKGK] 



e Chic file. tlBWFEX'W] 
ice cr d-ita thefi !iki;SIFS-1&I0] 

.:,:,.,-,, .:. ri-,-.-. Il,,-1 |-r,:t:',m"-13t'l 



«rolcd iolly. tei erevent, b!9 line dlfFcraico: rtid jvoi: pr*tOt.i«s Miti* urv 



O Figura 3: I report dell'analisi effettuata evidenzia tutte le potenziali vulnerabilità rilev- 
ate, eventuali suggerimenti di sicurezza e l'indice di hardening dei nostro sistema. In 
questo caso abbiamo totalizzato urto score di 48/100. 
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riibile in modo definitivo sul nostro PC 
e richiamabile, da root, attraverso ii 
comando "lynis" qualunque sfa il per- 
corso dove ci troviamo. Sarà inol 
sempre possibile controllare se vi s 
no aggiornamenti disponibili per l'< 
plicativo attraverso il comodo coman 
do "lynis --check- update". 

Segnaliamo inoltre che Lynis è dispo- 
nibile anche in forma pacchettizzata 
per diverse distribuzioni Linux. 
Per Debian, ad esempio, è dispo- 
nibile l'apposito pacchetto per tut- 
ti e tre i rami della distro (stable 
lynis 1.1.7, testing: lynis 1.2.7, sid 
lynis 1 .2.7). In questo caso sarà suffi- 
ciente digitare da shed "apt-get instali 
lynis" affinché sul nostro PC venga 
installata la versione più aggiorna- 
ta dell'applicativo relativa al reposi- 
tory debian utilizzato. 

:: Avvia dal processo 
di analisi 

Per testare l'operato di Lynis abbia- 
mo utilizzato un'installazione stan- 
dard di Debian testing corredando- 
la di alcuni pacchetti di uso comu- 
ne quali php5, apache 2, iptables ed 
openSSH. Per avviare il processo di 
auditing dell'intero sistema in modo 
interattivo è sufficiente digitare da 
shell con privilegi di root: 
# lynis -e 

A questo punto, il software suddivide- 
rà l'insieme dei test effettuati per ca- 
tegorie; terminato ogni blocco di ana- 
lisi sarà richiesta la pressione del ta- 
sto Invio per proseguire con il succes- 
sivo. È possibile, in ogni caso, evitare 
questa interazione specificando l'op- 
zione "-Q" (quick) come argomento. 



deb&yìyh6nB/gÌ6va"tii# lynis - -testa- category phn 
[<-] Soltware; PHP 

- Checking PHP... I FOUND ] 

- checking 3H 3, disabled functians... f FOUMO ! 

- Checking register_globals option... [ WARIJIIIG 1 

- Checking expose_chp option... I warijiik. ] 

- Checking enable_dl option... f OFJ-' ] , 
• Checking allov_url._1open oprion. . , I ON ! 

-[ uyiùs n.a.7 Hesuits ]■ 

T«sts perfonned: 7 

W.irliiny-.; 

■ [13:1.7:28; Warning: Pl-P option rogistor_globals option ss turnad on, which can be a nsk for variable 
volua overwiting [test: PHP- 236BÌ Uirpact:M] 

■ [13:^7:2Bj Warning: Pl-P option expose_php is j>ossibly turnod on, w^ich can roveal useiuV mforniàtìon i 
I or «ttackers. [testi PHP- 2372] [impact: K; 

Suggestioni;: 

• [13:47:20] Suggestioni Change t'no re9ister_glsba1s Une SO! register_gìabjls = Off [tost:PH=-2368] 

• 1 13: 17:20] Suggestioni Change the exposo_php Une to: EKDose_jphp = Off [tost:Pl-P-2372; 
- [13:^7:283 Suggestioni change the allow^url^tfcpan line to: allow w url_fooen - no, to disable downlcads 

I via php [test:PK'-2376] 



O Figura 4: Lynis consente l'analisi ristretta esclusivamente a determinati applicativi. In 
questo caso abbiamo dirottato la sua attenzione su PHP consci del fatto di avere la direttiva 
"register_giobals " attiva. 



Risulta utile, inoltre, la possibilità of- 
ferta dall'applicativo di poter indica- 
re il nostro nome come auditor del si- 
stema (Figura 1) attraverso l'apposito 
comando "-auditor 'nostro nome'". 

Per ogni blocco di analisi effettuato 
saranno riportati sulla destra alcu- 
ni avvisi relativi alle criticità rilevate. 
Questi si suddividono in "warning" e 
"suggestion" stando, appunto, a signi- 
ficare il livello di rischio rilevato per i 
primi ed eventuali consigli per la con- 
figurazione dei servizi per i secondi. 

Ricordiamoci sempre che, vista la na- 
tura dei tool, la possibilità di ricevere 
falsi positivi è alta e che alcuni sug- 
gerimenti e criticità rilevate rispondo- 
no esclusivamente ad un'analisi para- 
noica del sistema; si lascia pertanto 
all'utente il necessario discernimento 
dei riscontri rilevati dal software. 



REPORT QUOTIDIANI 



tossiamo avviare in modo automatico la creazione di un report giornaliero attra- 
verso l'utilizzo della cromato; per farlo creeremo un semplice cron job, del tipo: 

root /percorso/lynis -e -cronjob 

La directory dove sono contenuti sia i log del programma che i report effettuati è la 
classica /var/log; i file: lynis. log e lynis-report.dat. 



Come visibile in Figura 3, al termine 
dei test, Lynis ci mostra un report ri- 
assuntivo marcante tutte le potenzia- 
li vulnerabilità individuate; nel nostro 
caso, il software ci informa, ad esem- 
pio, che sebbene sia attivo un packet 
filter (iptables), non risultano essere 
configurate alcune regole di firewal- 
ling; che è possibile loggarsi via SSH 
direttamente con i privilegi di root e 
che l'opzione expose di PHP risulta 
attiva, consentendo ad un eventuale 
attaccante la visualizzazione di infor- 
mazioni sul nostro sistema. Sono in- 
fine indicati una serie di suggerimen- 
ti atti a migliorare lo stato di sicurez- 
za generale dell'host e l'indice di har- 
dening in base 1:100 ottenuto. 

In ultima istanza segnaliamo la pos- 
sibilità di concentrare l'operato di ly- 
nis solo sugli applicativi di nostro in- 
teresse, ottenendo un report relativo 
solo a questi ultimi; nell'esempio che 
segue abbiamo intenzionalmente at- 
tivato l'opzione "register_globals" di 
PHP (conoscendone i rischi). 

Abbiamo quindi avviato Lynis con 
l'opzione "--tests-category php" e, co- 
erentemente con quello che ci aspet- 
tavamo, l'applicativo ci ha informati 
del rischio corredando l'analisi con un 
opportuno suggerimento (Figura 4). 

Giovanni Federico 
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Uosa si nasconde all'interno lei "fiume ili Ut" 

più famoso iella Bete 



s 



iamo abituati a scaricare 
abitualmente file dalle 
reti torrent e l'unica 
cosa che ci preoccupa 
è se ci sono o no seeds. 
Ma un file torrent è solo la 
punta di una piramide di infor- 
mazioni nascoste che letteral- 



i nei ne ui uiiixaiiu ud i ri/ uun~ 

nessi nelle reti peer-to-peer di 
bittorrent, vediamo come fun- 
ziona l'intero sistema. 

■ 

:: Denti o il torrent 

Un file torrent è un archivio 
binario contenente un 
nucleo principale costi- , 
tuito dall'indirizzo IP del 
tracker e da tutti i peer clas- 
sificati attualmente come attivi 
(i ciient della rete peer-to-peer). 
Oltre alle informazioni di base 
sono presenti ulteriori dati, *£ 
molto interessanti, che pos- 
siamo analizzare con tool 
appositi. Uno di questi è Tor- 
rentSpy (torrentspy.source- 
1orge.net), un tool forse un 
po' datato ma ancora tra i più 
validi. Prendiamo ad esempio 
il torrent relativo alla prima iso 
di Debian 5.0 che possiamo 
scaricare direttamente dal 
sito ufficiale (www.debian.org/ 
CD/torrent-cd). Il programma 
non va installato: è sufficiente 
avviarlo, trascinare nella sua 
finestra il torrent che vogliamo 
studiare e potremo analizzare i 
dati che ci vengono mostrati. 




sii^ararisfraN 






Si distinguono chiaramente: 
• il nome del file che 
andremmo a scaricare se 
lanciassimo un cileni torrent 
{nella riga Name) 

■ • il tracker, ossia il server che 
il client deve interrogare per 
ricevere gli indirizzi cui con- 
nettersi per ricevere parti 
del file e che, in media una 
volta ogni 30 minuti, va inter- 
rogato di nuovo per aggior- 
narsi sui peer attivi da cui 
richiedere ulteriori parti 
•in File vediamo quanti file 
sono associati ai torrent 
e nel caso abbiamo sca- 
ricato già parte del file, 
cliccando sulla V possiamo 
chiedere al software di dirci 
se abbiamo il totale o solo 
una percentuale del file 
completo (di cui vediamo il 
totale dei byte a destra) 

j= • SHA Hash è il codice di 
checksum utilizzato per veri- 
ficare l'integrità del torrent 
• "Comment" e "Created by" 
sono campi descrittivi com- 
pilati da chi crea il torrent, 
mentre "Creation Date" corri- 
sponde alia data esatta delia 
creazione dell'archivio 
•In Compiere/incomplete 
possiamo vedere la situa- 
zione corrente di quanti 
hanno già scaricato il file e 
possono quindi ritrasmetterlo 
(Seeders); questa informa- 
zione può essere aggiornata 
se siamo connessi e clic- 
chiamo su Update 
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Gennai Ras j Data Create ( System ! Log | About 

Nane: debiart-503-i38S-DVD-1.i» 

Traete http://bttiact.ei.debiaii.org:S969/announee 

Fitefct 1 -/ ? TotelBi-lw: 4673.224.7fl4 
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Comment '"Debiatl CD hom Cdimage.debian.org" 
Createti By Cìeatbn Date: 05/09/200910.45.3 
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O In questa finestra appaiono una serie di informazioni sostan- O Schema riepilogativo del funzionamento del protocollo torrent 
zialmente analoghe a q uelle fornite da un client come BiiTorrent. e della tecnica di swarming. 



:: Il protocollo lorrent 

Tipicamente il file da scaricare 
viene scomposto in parti uguali 
di 256Kb l'una (dette chunk) che 
vengono scambiate continuamente 

tra tutti i client connessi allo stesso 
tracker in modo da replicare il file 
all'interno di questa sottorete. 

Questa tecnica prende il nome di 
swarming (brulicare), il che rende 
bene l'idea del movimento di bit che si 
genera, ma soprattutto spiega come 
sia possibile ottenere un download 
parallelo: in pratica attivando una 
connessione dal client verso diversi 
nodi della rete peer-to-peer, si rie- 
scono a scaricare piccole parti da 
diversi indirizzi sfruttando piena- 
mente la banda a disposizione. In 
questo modo si ricevono in contem- 
poranea diversi segmenti del file che 
man mano y%<:<:è. completato. Ogni 
volta che il client riceve per intero un 
chunk, informa tutti i client cui è con- 
nesso dell'aggiornamento avuto. 



I Jfc. TorrantSpy: C;\0oo.iment5 ^nd Setttngstoi»\Desktop\d<| 
General Files ! Data | Create | System [ L.og ; About j 
File Nome Sizc (byte») Path 




© L'elenco completo dei file inclusi nel tor- 
rent compare nella seconda finestra "Files". 



La politica di scambio dati tra client 
segue due linee guida: 

• prima di tutto, vengono preferiti gli 
scambi verso un client che già ci sta 
mandando dei chunk, tecnica deno- 
minata tit-for-tat volta a stimolare la 
condivisione dei file piuttosto che il 
solo download a senso unico 

• secondariamente, ogni peer limita 
il numero di peer che può servire a 
4 e monitora costantemente quali 
sono i migliori 4 downloader (in 
termini di byte ai secondo scam- 
biati) nel caso si tratti di un seed, o 
dei 4 migliori uploader nel caso si 
fratti di un leecher 

Queste linee guida sono state imple- 
mentate in BitTorrent i! quale, per limitare 
i download nel caso di sovraccarico, 
rifiuta il collegamento di ulteriori down- 
loader mentre sta trasferendo i chunk; 
ogni 10 secondi circa campiona i trasfe- 
rimenti in corso e nel caso trovi connes- 
sioni migliori, appena possìbile accetta 
quelle più prestanti per il download. 
Oltre a queste politiche di tipo "statico", 
vengono applicate delle politiche di tipo 
euristico che ogni 30 secondi prevedono 
di rischiare su una connessione nuova, 
tagliando una dì quelle presenti a pre- 
scìndere dalla velocità rilevata. In parti- 
colare, la scelta dei chunk da scaricare 
è basata sulla massima entropia realiz- 
zabile che permette di avere il file il più 
possibile diffuso all'interno della rete 
peer-to-peer. Questa tecnica prende 
il nome di raresì-first-policy e prevede 
che il chunk meno diffuso sia il primo 
ad essere duplicato. C'è un'eccezione 



prevista, che s! realizza quando sì con- 
nette un nuovo client che non ha alcun 
chunk: in questo caso, dato che non 
può attendere di ricevere il chunk più 
raro, viene scelto in modo casuale quale 
chunk ricevere per primo dopodiché si 
abilita la rarest-first-policy. 

:: Considerazioni 

A prescindere dalle polemiche 
relative al download di mate- 
riale protetto da copyright, leggi 
e leggine, non si può non ricono- 
scere che il protocollo stesso sia 
un'opera di ingegno affascinante 
ed efficiente e che invece di limitarne 
Fuso sarebbe utile diffonderlo per otti- 
mizzare la banda come fa da tempo la 
comunità OpenSource. Grazie a torrent 
infatti è possibile accorciare i tempi di 
scaricamento, nonostante le pesanti limi- 
tazioni infrastrutturali cui siamo soggetti 
in Italia, quindi con beneficio per tutti. 

NoeXKuzE 



lift. TorreutSoi;: Ci\Ctociiments and S9tìlfas\rrai\DsMouldebBn-5| 
General j Filss Data | Desta j System | Log ] About | 

| CI?!!!**]' T '«M 
> (rartH4> 
® announceC4!| - , W»://Mliaek*i.d6bian.oisG9SS'6nrtt!jns&" 
$ corrment|35) = '"'DebianCD homcdmagedebianoig'*' 
«> ersafan data -1252143932 
Ò> ini* 14) 

<8> l3ngth..iG732247CM 

^ name\25)-="debiari-50S«88-D , JD-Vist>" 

<$> pieci: leniti -1048576 

<S> piecet(89140) = , Oxd3D57b6e4baea354242ce63dbS8S4d7| 



O Nelle schede di questa finestra pos- 
siamo vedere le informazioni principali 
contenute all'interno di un file torrent. 
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QEFT Linux è una distribuzione 
GNU/Linux, sviluppata in Ita- 
lia, che fornisce un completo 
ambiente per l'analisi forense. 

Grazie ad essa, quindi, possiamo recupe- 
rare da un PC informazioni perse o nasco- 
ste, tentare di individuare delle password 
d'accesso oppure analizzare con un sof- 
tware di sniffing il traffico all'interno di una 
rete. Questa distro non deve essere in- 
stallata sull'hard disk del PC su cui voglia- 
mo effettuare le analisi", in questo modo, è 
possibile far uso di un ambiente d'indagine 
teoricamente asettico e in ciò siamo aiutati 
dalla scelta della distro di non montare, al 
momento dell'avvio, alcun dispositivo pre- 
sente nel PC da analizzare, così da lascia- 
re a noi piena libertà sugli interventi. 

» Installazione 
su CD e chiavetta 

DEFT Linux può essere masteriz- 
zata su CD-Rom oppure trasferi- 
ta su una piccola chiavetta USB. 

Per creare un CD di avvio apriamo 
con un web browser la pagina http:// 
www.deftlinux.net/download e clicchia- 
mo sul link di uno dei mìrror disponibi- 
li e scarichiamo il file deftv5.iso. Al ter- 
mine del download masterizziamo que- 
sto file, che contiene l'immagine ISO 
del .CD di avvio di DEFT Linux 5, con un 
qualsiasi software di masterizzazione. 
La procedura per trasferire la distro su 
chiavetta è un po' più complicata. Avvia- 
mo un sistema Linux, ad esempio Ubun- 
tu 9.10, ed apriamo con un web browser 
l'indirizzo http://www.mirrordeft.net/listing/ 



deftpen. Quindi scarichiamo il file def- 
tpen_5.dd. Fatto ciò, inseriamo nel no- 
stro PC la chiavetta e individuiamo il file 
di dispositivo corrispondente alla chiavetta 
stessa: per fare questo apriamo una con- 
sole di terminale e, subito dopo aver inse- 
rito la penna, lanciamo il comando dmesg. 
Otterremo in output il file di dispositivo del- 
la nostra penna. A questo punto, nel ter- 
minale entriamo con il comando "ed" nel- 
la directory in cui il nostro browser salva i 
file scaricati (lanciamo, ad esempio, "ed 
Scrivania"). Quindi per trasferire DEFT Li- 
nux sulla penna eseguiamo il comando 
seguente, inserendo al posto di /dev/sdb 
il file di dispositivo della chiavetta: 
sudo dd if=Download/deftpen_5.dd 
ofWdev/sdb 

Se non usiamo Ubuntu o altre distro 
che utilizzano sudo per ottenere ì per- 
sie Modifica yisuaitea Terminale Aiolo 



[54927. 401010] sd 10:0:0:8: [sdb] A: 

[54927.401013] sdb: 

[54993.876277] sd 10:0:0:0: [sdb] A 

[54993.876289] sdb: sdbl 

[55100. 903164] usb 1-5: USB disconne 

[55103.324190] usb 1-5: new high spf 

[55103.459619] usb 1-5: configurati* 

[55103.462290) scsill : SCSI emulai; 

[55103.462525] usb- Storage; device 

[55103.462536] usb-storage: waiting 

[55108.460415] usb-storage: device : 

(55108.472121) scsi 11:0:0:0: Direr 



Q: ANSI: 2 

LG C3 no AllJWfl T- 
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O Per trasferire DEFT Linux su una chi- 
avetta USB dobbiamo conoscere il Me di 
dispositivo della chiavetta: per fare questo 
lanciamo il comando dmesg. In questo es- 
empio il dispositivo è /dev^db. n 



messi di root. eséguiam-o'prima il co- 
manda "su -". inseriamo la password di 
root ei ; poi lanciamo Idd if=Down(oad/ 
5.dd of=/dev?sdb". 

mo 




ta la distro nei supporta scel- 

riarno questo nel Pfl! 'da ana- 

. configuriamo faStOS per 

Jvio dai supporto»rescelto. 

Effettua® il boct di DEFT Lia», compa- 
rirà un menu in cui sceglierejplingua eia 
usare: coti i tasti freccia selezioniamo la 
voce Itatìano. Nel menu di avvio della di- 
stro, gjtindi. scegliamo Topine l: Start 
DEFT linux v5" e premiamcfjnvio. Fat- 
to ciò. verranno caricate le i||-np<bnenti . 
pringpp^TOel sistema operativo e compa- 
rirà fl prompt dei comandi. Qui possiamo 
eseguire delle applicazioni a Hjaè^sJ; co- 
mando oppure avviare [interfaccia grafi- 
ca; per fare questo lanciami indo 
"start x". e dopo qualche secondo- com- 
parirà l'interfaccia grafica di DEFT Linux, 
che utilizza l'ambiente desktop l|pjE (ht- 
tp ://lxde.org/). Come sue anticipato, il si- ^ .* 
stema non monta automaticamente i di- 
spositivi presenti sul F^. Per attivare le 
partizioni dell'hard disk su cui vogliamo 
intervenire, quindi, doppiai-* i'ap- 
plicazioneMountManagef. Non appe- 
na, avviata selezfoniarao>neJreleneo a §j= 
nislfa la partizio'ne da montare, poi indi- 
chiamo, a destra, il Mount point (cioè -la 
direefeVy in cui vogliamocene sia a cce» 
. .sitale la partizione). Sono disponibiJimoI- 
te opzioni relative al mouQt della patftzia- 
**ne: per accedere in so|a lettura alla par- 
, tizfone, ad esempio, nella linguetta Gè- 
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al selezioniamo per l'opzione "What 
:users pan do at this par'tition" ì! valere 
'Only reati". Quindi nell'elenco a sinistra 
liamo con il tasto destroide! mou- 
'"sulla partizione e nel merììKefre ap- 
paje selezioniamo la voce "MoUnt". tnfi- 
$m, per attivare la partizione clicchiamo 
Ipl pulsante Mount che a qu^sto:Éunto 
saia comparso nella finestra.? 



PC focale (http://localhost:9999/autopsy). 
A questo punto, la prima operazione da 
compiere è creare umnuovo "caso" e forni- 
re ai-programma informazioni sull'indagine 
foreasejshé dobbiamo effettuare. 

rizziamo il disco 



topsv e Sleuihkil 




palisi fo- 

clicchia- 

sinisira, 

.entriamo 

nsic". 



|iare i programmi di 

Bruiti da DEFT Linu 

Elcona Deft in bass 

gel menu che appar 
none "Computer 
biCi importanti strumentisti e que- 
stévdjsfrò mette a nostra disposizione è 
Autopsy, un eccellente software ber le in- 
dagini digitali che permette difenalizza- 
re i dati presenti in un gran numero di fi- 
lesystem (Ext2, Ext3, FAT, NTFS, UFS1 e 
JJFS2). Autopsy non è altro che un'inter- 
jfeccia grafica via web a The Sleuth Kit, un 
Insieme di programmi a linea di comando 
S5er l'analisi forense, Vediamo, dunque, 
come procedere per recuperare i-file can- 
cellati da una partizione. Avviamo Autop- 
Jsy cliccandè'suff'icona DEFT, su ''Com- 
puter Forenstc" e poi su Autopsy. Compa- 
rirà una finestrata 1 ! terminale,- in cui vera 
avviato Autopsy: per chiudere il program- 
ma, quindi, baslerà poi chiudere quésta fi- 
.nestra*. Dato che Autopsy utilizza un'inter- 
faccia web. verrà avviato in automatico Fi- 
refg< con apèrta la URL dell'interfaccia sul 



terfi 



Clicca- 



un nuovo caso, nefi'in- 
;cia di Autopsy clicchiamo 
teante "New Case" in basso. 

iserlamo nel campo "Case Name" 
mei caso da creare, mentre la corri- 
le degli altri campi è facoltativa, 
imo poi su "New Case" in basso, 
fungiamo uh host, cioè un compu- 
Lnalizzare: clicchiamo sul pulsan- 
jHost" e nella schermata seguen- 
! diapp^li un'nome e clicchiamo su "Add 
Fatto questo, dobbiamo indicare un 
file immagine coratil contenuto del disposi- 
tivo;^ analizzare; in alternativa, possiamo 
ihéeriÉe^dj retta mente il file di dispositivo 
delia partizione o dell'intero disco. Se vo- 
glianibf creare un file immagine lanciamo 
in un terminale ii comando "dd" nel modo 
seguente, inserendo al posto di/dev/sdal 
i'riile di dispositivo della partizione da leg- 
gerésld if=/dev/sda1 of=sda1.dd 
ÀI termine dell'operazione, il file sdat.dd 
conterà l'immagine della nostra partizio- 
ne. M&\ nostro esempio, però, per sem- 
pjific.arejitilizzeremo direttamente il file di 
6&prisitivo di una partizione. Clicchiamo 
q'HÌnfdj sul pulsante "Add Image", poi su 
"AraÉfmage File". Nella schermata succes- 
sivfflujiseriamo in Location il file di dispositi- 



vo della partizione {ad esempio, /dev/sda1) 
e come valore dell'opzione Type sceglia- 
mo Partitica Quindi clicchiamo su Next in 
basso. Nella schermata che segue pos- 
siamo lasciare i valori di default di tutte le 
opzioni e cliccare su Add. Se vogliamo ag- 
giungere un altro dispositivo da analizzare 
clicchiamo poi su "Add Image", altrimenti 
clicchiamo sul pulsante OK. 

:. Candiamo 
i ne cancellati 

Nella schermata che appa- 
re ci verrà presentato un riepilo- 
go informativo sul dispositivo e, 
più in basso, un insieme di pulsan- 
ti per operare sul dispositivo stesso. 
Clicchiamo sul pulsante Analyze e nella 
schermata successiva scegliamo come 
metodo di analisi "File Analysis". A questo 
punto comparirà il contenuto della dispo- 
sitivo, visualizzato come in un comune fi- 
le manager. La finestra del web browser è 
ora ripartita in tre sezioni, più la fila di pul- 
santi in alto: per trovare i file cancellati en- 
triamo nella sezione a sinistra, quella con 
la scritta Directory Seek, e clicchiamo sul 
pulsante "Ali Deleted Files". Nella sezione 
in alto a destra della finestra, quindi v ver- 
ranno elencati tutti i file cancellati che so- 
no stati individuati nella nostra partizione. 
Nell'elenco selezioniamo il file cancella- 
to che vogliamo recuperare. Compariran- 
no alcune opzioni relative al file prescel- 
to: clicchiamo su Export per salvare il file. 
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opsy. Se vogliamo 
riamo un nuovo caso 



O Clicchiamo sul pulsante "Ali Deleted Fìtes" per avere accesso ài 
file cancellati presenti sul dispositivo selezionato. 
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Qualcuno di noi conoscerà 
|già l'ottimo servizio offerto 
Ida Evenflow Inc. chiamato 
Dropbox. Per tutti coloro che 
invece non l'avessero ancora sco- 
perto basta dire che, grazie a un'inter- 
faccia grafica semplice e funzionale, 
viene reso disponibile anche ai 
meno "smanettoni" un sistema di 
sincronizzazione tra le varie car- 
telle replicate sia su diversi PC, sia 
su PC e iPhone sia, ma stiamo par- 
lando di una versione beta, anche 
su Blackberry. Ma non è finita qui: 
il bello è che il tutto è 
gestibile anche 
online tra 
un qualun 
I browser. 



ss Funzioni 

Dropbox (www.Dropbox.com) 
è un'applicazione muitipiat- 
taforma completamente gra- 
tuita che permette di avere fin 
da subito 2Gb di spazio online 
(cui tramite un meccanismo di inviti su 
referrai, è possibile aggiungere fino a 
3Gb e raggiungere quindi i 5Gb totali) 
senza pagare alcun canone, che pos- 
siamo utilizzare come un hard disk vir- 
tuale costantemente sincronizzato con 
delle cartelle fisiche presenti nel nostro 
PC o nel nostro iPhone. 
Per chi fosse inte- 
spazi 
' poi, 
ispo- 



nibili abbonamenti mensili a partire da 
9.99USD per 50Gb e 19,99USD per 
100Gb. Purtroppo però per l'iPhone il 
limite di spazio gestibile resta comunque 
2Gb proprio per un'imposizione da 
parte di Apple, che speriamo cambi 
idea visto che è una della applicazioni 
che aspira a diventare tra le favorite 
presenti in App Store. Nel caso in cui ci 
si stia avvicinando al limite disponibile, 
si viene avvisati ed è possibile guada- 
gnare qualcosa rimuovendo i file dai 
preferiti (quelli segnati da una stellina). 
L'applicazione una volta installata è 
totalmente trasparente per l'utente 
perché si integra nel sistema operativo 
monitorando una specifica cartella del 
filesystem (che possiamo scegliere in 
fase di setup o cambiare in seguito) per 
controllare ogni minima variazione che 
intervenga sui file e sulle sottodirectory. 
Nel momento in cui viene modificato 
qualcosa, viene attivata una connes- 
sione SSL verso il server di Dropbox e 
viene sincronizzato ciò che è cambiato. 
Nel contempo, nell'account online viene 
aggiornato il registro degli eventi e se ci 
sono altri PC o telefoni agganciati allo 
stesso account con Dropbox in fun- 
zione, riceveranno di conseguenza gli 
aggiornamenti dei cambiamenti effet- 
tuati non appena disponibili sul server. 




Come tenere costantemente 
sineronizzatiifile. 
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l'm alrcady a Dropbox user 
l'm novv to Dropbox 



O Anche se non abbiamo ancora attivato 
un account su Dfopbox è possibile crearlo 
direttamente dall'installazione su iPhone. 

:: OraphoK $u iffigne 

Per accesso online, l'interfaccia 
web standard obiettivamente un po' 
esosa in termini di spazio grafico 
viene ridotta all'essenziale (vedi 

all'indirizzo dropbox.com/iPhone) 

perché presenta per iPhone solo i con- 
trolli che permettono di scaricare i file 
da Dropbox direttamente sul proprio 
telefonino e consultare il registro degli 
eventi. Per quanto riguarda file come 
PDF e MP3, è possibile passare 
direttamente all'apertura e visione 
(e vengono anche associate grafica- 
mente le rispettive icone che ci sono 
familiari), mentre altri file saranno 
visibili solo quando si va offline 
andando nella cartella dei Preferiti. 
L'applicazione è molto ben docu- 
mentata online e rende facile e diver- 
tente il suo utilizzo. Per partire subito 
è possibile creare un account online, 
scaricare l'eseguibile e lanciare l'instal- 
lazione o lanciare l'installazione e sce- 
gliere la procedura guidata per creare 
un proprio account durante il setup. 
Nel caso in cui stiamo aggiungendo un 
altro nodo della nostra rete privata in 
Dropbox, basta utilizzare login e pas- 
sword già in possesso e vedremo che 
Dropbox appena installato cercherà di 
scaricare tutti i dati già presenti online. 
Occhio quindi con le connessioni a 



volume, nel caso si abbia qualche giga 
di dati da sincronizzare! Su iPhone è 
molto semplice fare il setup e partire 
con Dropbox ed è possibile aprire 
direttamente le foto che inseriamo. 
L'applicazione è reattiva, si sincronizza 
velocemente e non va in crash, nono- 
stante il fatto che è stata lanciata da 
poco. C'è la possibilità di fare subito una 
foto con riPhone o di girare un video 
con l'iPhone 3GS e mandarlo imme- 
diatamente a uno dei propri contatti. 
Dopo l'installazione troveremo nella 
cartella un PDF che ci spiega il fun- 
zionamento di Dropbox su iPhone. Dal 
menu poi è tacile scollegare il proprio 
iPhone ed effettuare login con un altro 
account nel caso lo avessimo. 

ss utilizzi avanzati 

Oltre a gestire un backup in tempo 
reale, utilissimo e alla portata 
di tutti quanti possono avere un 
accesso a banda larga, è pos- 
sibile decidere di condividere i 
dati con altri utenti di Dropbox. 
Per poter attivare la condivisione, si 
deve agire dall'interfaccia online com- 
pleta e scegliendo in Sharing il nome 
della cartella che sarà condivisa. Una 
volta creata, dobbiamo indicare gli indi- 
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O Una volta entrati nel nostro account pos- 
siamo controllare online iuttì i file già $in- 
cronizzati in My Dropbox. 




©Se clicch iam o sopra un 'immagin e questa 
andrà direttamente ne! Viewer come se 
Dropbox non ci fosse. 

rizzi e-mail delle persone autorizzate 
ad accedere (oltre noi) che corrispon- 
deranno ad altri account già attivi 
di Dropbox. Lo spazio condiviso di 
fatto viene tolto da quello totale fin- 
tanto che dura la condivisione. Ma 
grazie a questa operazione è possibile 
accedere liberamente ai dati condivisi 
da due account differenti e scambiare 
file tra amici. Chiaramente resteranno 
visibili solo i dati presenti nella cartella 
condivisa e solo gli utenti autorizzati 
potranno accedervi. Dropbox rappre- 
senta a mio parere un servizio comple- 
mentare a Gmail: se infatti con Gmail 
è possibile dimenticarsi dei vari pro- 
blemi della posta elettronica (organiz- 
zazione, occupazione di spazio, spam, 
..), con Dropbox è possibile gestire 
con la medesima semplicità un proprio 
archivio personale di dati sempre pre- 
senti, online e fisicamente su un qua- 
lunque terminale che connettiamo al 
server e accessibili anche dal proprio 
iPhone, di cui possiamo anche dimen- 
ticarci che sta funzionando perfetta- 
mente mentre lo usiamo. E anche se 
non lavoriamo su più macchine, ma 
vogliamo sempre avere a portata di 
mano documenti importanti da vedere 
ad esempio sul nostro iPhone, Dropbox 
diventerà un compagno insostituibile. 

Massimiliano Brasile 
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